Модели безопасности компьютерных систем. Курс лекций

2.1. Модели разграничения доступа (дискреционные модели - модели на основе матрицы доступа; модели распространения прав доступа - модель Харрисона-Руззо-Ульмана, теоретико-графовая модель TAKE-GRANT; мандатные модели – модель Белла-ЛаПадуллы и ее расширения, модель тематического разграничения доступа на основе иерархических рубрикаторов; теоретико-информационные модели – модель информационного невмешательства, модель информационной невыводимости, модели ролевого доступа)
2.2. Модели и технологии обеспечения целостности компьютерной информации (субъектно-объектные модели – дискреционная модель Биба, мандатная модель Кларка-Вильсона; технологии ЭЦП, технологии обеспе-чения целостности мониторами транзакций в клиент-серверных СУБД)
2.3. Модели и механизмы обеспечения правомерной доступности (сохранности) компьютерной информации (резервирование и журнализация данных, модели и технологии репликации данных)
2.4. Модели безопасности распределенных КС (модель Варахараджана, зональная модель безопасности)

Источники

Специфика компьютерной формы информации:

возможность получения доступа к большим объемам информации в локальном физическом сосредоточении
возможность быстрого или мгновенного копирование огромных объемов информации и, как правило, без следов
возможность быстрого или мгновенного разрушения или искажения огромных объемов информации

провоцирует на посягательство

в результате – КС и ИБ – неотделимые понятия

Защита
(обеспечение) безопасности информации
– не просто вспомогательная, но одна из главных
(основных) функций КС при их создании
и эксплуатации

1. История развития теории и практики обеспечения компьютерной безопасности

2. Содержание и структура понятия компьютерной безопасности

Иерархия понятий:

Безопасность

Информационная Безопасность

Компьютерная Безопасность

Информационная безопасность РФ - состояние защищенности ее (РФ) национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства (Доктрина ИБ РФ)

Компьютерная безопасность – состояние защищенности (безопасность) информации в компьютерных системах и безотказность (надежность) функционирования компьютерных систем

Безопасность компьютерной информации

Обеспече-ние конфи-денци-ально-сти информа-ции

Компьютерная безопасность

Обеспече-ние
целост-ности информа-ции

Обеспече-ние
доступ-ности информа-ции

Обеспечение аутентично-сти реализации функций

Обеспечение безотказно-сти реализации функций

Обеспе-чение безотказности оборудования

Обеспе-чение безотказно сти ПО

Обеспе-чение цело-стно-сти ПО

Обеспе-чение цело-стно-сти параметров ПО

- свойство информации, субъективно устанавливаемое ее собственником, когда ему может быть причинен ущерб от ознакомления с информацией неуполномоченных на то лиц, при условии того, что собственник принимает меры по организации доступа к информации только уполномоченных лиц

- неискаженность, достоверность, полнота, адекватность и т.д., т.е. такое свойство информации, при котором ее содержание и структура (данных) определены уполномоченными лицами и процессами

- такое свойство информации, при котором отсутствуют препятствия доступа к информации и закономерному ее использованию собственником или уполномоченными лицами

Нарушение конфиден-
денциальности, целост-
ности, доступности,
безотказности функций

Объект защиты-
компьютерная
информация,
функции КС

2. Содержание и структура понятия компьютерной безопасности

Безопасность информации
- состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации от утечки, хищения, утраты, несанкционированного уничтожения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.

Разумной достаточности

-внедрение в архитектуру, в алгоритмы и технологии функционирования КС защитных механизмов, функций и процедур объективно вызывает дополнительные затраты, издержки при создании и эксплуатации КС, ограничивает, снижает функциональные возможности КС и параметры ее эффективности (быстродействие, задействуемые ресурсы), вызывает неудобства в работе пользователям КС, налагает на них дополнительные нагрузки и требования — поэтому защита должна быть разумно достаточной (на минимально необходимом уровне)

Целенаправленности

-устранение, нейтрализация (либо обеспечение снижения потенциального ущерба) конкретного перечня угроз (опасностей), характерных для конкретной КС в конкретных условиях ее создания и эксплуатации

Системности

-выбор защитных механизмов с учетом системной сути КС, как органи-зационно-технологической человеко-машинной системы, состоящей из взаимосвязанных, составляющих единое целое функциональных, программных, технических, организационно-технологических подсистем

Комплексности

-выбор защитных механизмов различной и наиболее целесообразной в конкретных условиях природы – программно-алгоритмических, процедурно-технологических, нормативно-организационных, и на всех стадиях жизненного цикла – на этапах создания, эксплуатации и вывода из строя

Управляемость

-система защиты КС строится как система управления – объект управления (угрозы безопасности и процедуры функционирования КС), субъект управления (средства и механизмы защиты), среда функционирования, обратная связь в цикле управления, целевая функция управления (снижение риска от угроз безопасности до требуемого (приемлемого) уровня), контроль эффективности (результативности) функционирования

Сочетания унификации и оригинальности

-с одной стороны с учетом опыта создания и применения КС, опыта обеспечения безопасности КС должны применяться максимально проверенные, стандартизированные и унифицированные архитектурные, программно-алгоритмические, организационно-технологические решения,
-с другой стороны, с учетом динамики развития ИТ, диалектики средств нападения и защиты должны разрабатываться и внедряться новые оригинальные архитектурные, программно-алгоритмические, организационно-технологические решения, обеспечивающие безопасность КС в новых условиях угроз, с минимизацией затрат и издержек, повышением эффективности и параметров функционирования КС, снижением требований к пользователям

Общие принципы обеспечения компьютерной безопасности

конфиденциальность

целостность

доступность

Презентация предназначена для отработки и закрепления лекционного материала студентами группы КБ МатМех УрГУ.
Распространение и передача презентации третьим лицам запрещается

Учебные вопросы:

1. Понятие и классификация угроз
2. Идентификация и таксонометрия (каталогизация) угроз
3. Оценивание угроз
4. Человеческий фактор в угрозах безопасности и модель нарушителя

Существенные параметры и характеристики называются основаниями, критериями классификации

Выделяется
таксономическая классификация (род-вид)
мереологическая классификация (часть-целое)
фасетная классификация (аналитико-синтетическая)

Систематизация – приведение в систему, т.е. в нечто целое, представляющее собой единство закономерно расположенных и находящихся во взаимной связи частей; выстраивание в определенный порядок.
Частным случаем систематизации является классификация

Помехи на линиях связи от внешних воздействий
- правильность выбора места (маршрута) прокладки
- технических решений по помехозащищенности
- э/м обстановки

Схемные и системотехнические ошибки разработчиков
Структурные, алгоритмические и программные ошибки
- специальные методы проектирования и разработки
- специальные процедуры тестирования и отладки

Аварийные ситуации
- по выходу из строя электропитания - по стихийным бедствиям
- по выходу из строя систем жизнеобеспечения

Преднамеренные (субъективные)

А

Общий ландшафт инцидентов в IT-сфере РФ

Внутренняя зона КС

Зона контролируемой
территории

Зона помещений КС

Зона ресурсов КС

2. Идентификация и таксонометрия (каталогизация) угроз

раскрытие данных путем доступа к файлам БД средствами ОС

раскрытие данных путем анализа остаточной информации

ошибочное уничтожение данных пользователями КС

Угроза
актуальна?

Перечень угроз для КС

Угр.1. Раскрытие данных путем доступа к файлам БД средствами ОС

Угр.2. Раскрытие данных путем анализа остаточной информации

…

…

Bundesamt für Sicherheit der Informationstechnik (Германский стандарт безопасности IT), http://www.bsi.de

РД ГосТехКомиссии России. Безопасность ИТ. Руководство по формированию семейств профилей защиты. http://www.fstec.ru

Каталоги (таксономические схемы классификации) угроз безопасности

Угрозы данным на носителях

Угрозы данным в телекоммуникационных линиях

Угрозы прикладным программам (приложениям)

Угрозы прикладным процессам и данным

Угрозы отображаемым данным

Угрозы вводимым данным

Угрозы данным, выводимым на печать

Угрозы данным пользователей 

Угрозы системным службам и данным

Угрозы информационному оборудованию

- источник угрозы (люди либо иные факторы)

Аспекты угрозы

- предполагаемый метод (способ, особенности) нападения/реализации

- уязвимости, которые м.б. использованы для нападения/реализации

- активы, подверженные нападению/реализации

данные на
носителях

данные раскрыты путем незаконного перемещения носителя

обращение к данным, изменение, удаление, добавление в приложение или извлечение из приложения данных неуполномоченным лицом

данные раскрыты путем их выгрузки с носителя данных неуполномоченным лицом

использование остаточной информации на носителе

незаконное копирование данных

данные незаконно используются, или их использование затруднено из-за изменения атрибутов доступа к данным неуполномоченным лицом

данные получены незаконно путем фальсификации файла

данные повреждены из-за разрушения носителя

данные уничтожены или их использование затруднено из-за неисправности устройства ввода-вывода

обращение к данным, изменение, удаление, добавление в приложение или извлечение из приложения данных неуполномоченным лицом путем использования соответствующей команды

зашифрованные данные не могут быть дешифрованы из-за потери секретного ключа

данные ошибочно удалены уполномоченным лицом

2. Идентификация и таксонометрия (каталогизация) угроз

данные в телекоммуникационных линиях

данные перехвачены или разрушены в телекоммуникационной линии

данные прослушиваются, незаконно умышленно изменены, искажены, похищены, удалены или дополнены в системе коммутации

данные незаконно используются в результате подмены их адресата, отправителя или изменения атрибутов доступа в системе коммутации

связь заблокирована из-за повреждения линии

связь заблокирована из-за аномалий в канале связи

несанкционированная повторная передача данных в неразрешенный адрес

прикладные программы (приложения)

выполнение приложения неуполномоченным лицом

обращение к данным в библиотеке программ, модификация или удаление данных в библиотеке программ неуполномоченным лицом

незаконное использование программы или затруднение ее использования путем изменения ее атрибутов доступа неуполномоченным лицом

аномалии в ходе выполнения программы из-за аппаратного отказа компьютера

2. Идентификация и таксонометрия (каталогизация) угроз

прикладные процессы и данные

несанкционированное использование прикладных процессов (например, запросов по Telnet и FTP)

блокировка прикладных процессов (атаки, направленные на переполнение трафика, например, запросы на обработку потока ненужных данных)

отрицание факта обмена данными или отрицание их содержания

отказ от авторства данных

несанкционированная передача данных

несанкционированное использование данных или программ путем использования оставшихся в программах отладочных функций

необоснованный отказ от предоставления услуги

незаконное умышленное изменение, искажение, похищение, удаление или разрушение данных

несанкционированное выполнение операций

нарушение конфиденциальности

отображаемые данные

просмотр данных неуполномоченным лицом

несанкционированное копирование или печать

вводимые данные

данные раскрыты во время ввода

введенные данные несанкционированно изъяты (или удалены)

2. Идентификация и таксонометрия (каталогизация) угроз

пользователь (человек, система, терминал) не может быть идентифицирован

маскировка путем использования раскрытой идентификационной информации пользователя (человека, системы, терминала)

пользователь не идентифицирован

маскировка путем использования незаконно раскрытой информации аутентификации

маскировка путем незаконного (логического) вывода аутентификационной информации

маскировка путем использования недействительной аутентификационной информации

использование недействительного права из-за сбоя журнала регистрации прав пользователей

действия пользователя несанкционированно раскрыты (нарушение конфиденциальности)

отрицание факта передачи данных

отрицание владения данными

отрицание факта приема данных

данные посланы несоответствующему получателю вследствие его маскировки под авторизованного пользователя или ошибки спецификации

маскировка путем подделки информации аутентификации

Угрозы защищаемым активам в продуктах и системах ИТ
(РД ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2015г., пример)

2. Идентификация и таксонометрия (каталогизация) угроз

Угрозы защищаемым активам в продуктах и системах ИТ
(РД ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2015г., пример)

система незаконно используется пользователем, который выдает себя за оператора во время отсутствия оператора

нарушение безопасности системы вследствие несанкционированного действия или ошибки уполномоченного пользователя

внедрение вирусов

несанкционированное проникновение в систему

проникновение в систему, используя известные дефекты протоколов (например, протокола IP)

нарушение безопасности системы вследствие несанкционированной замены системной программы

обслуживание прекращено из-за разрушения системной программы

несанкционированная системная операция

информационное оборудование

повреждение или изъятие

отключение питания

2. Идентификация и таксонометрия (каталогизация) угроз

Без десруктив-ных функций

РПС

Черные ходы, люки

Несамовоспроизводящиеся (Трояны)

Самовоспроизводящиеся (Вирусы)

Другие

Скрытые каналы

По памяти

По времени

Ошибки контроля допустимых значений параметров

Ошибки определения областей (доменов)

Ошибки последов-ти действий и использ-я имен

Ошибки идентификации, аутентификации

Ошибки проверки границ объектов

Другие ошибки в логике функционирования

2. Идентификация и таксонометрия (каталогизация) угроз

Управление выделением памяти

Управление устройствами

Средства идент-ии и аутентификации

Другие (неизвестные)

Сервисные програм-мы и ути-литы

Привилегированные утилиты

Непривилегированные утилиты

8

2

10

3

6

5

1

10

1

2

Опера-ционные системы

Прикладные программы

3

2. Идентификация и таксонометрия (каталогизация) угроз

Апостериорные, на основе гистограмм распределения событий проявления соотв. угроз по результатам эксплуатации КС

Экспертные, на основе экспертных оценок специалистов

Методики экспертных оценок

Отбор экспертов (формальные и неформальные требования, метод «снежного кома», 10-12 экспертов)
Выбор параметров, по которым оцениваются объекты (стоимость, важность, веса параметров)
Выбор шкал оценивания (методов экспертного шкалирования)

Роль человека в угрозах безопасности информации:

- носитель/источник угроз (как внутренних, так и внешних, как случайных, так и преднамеренных)

- средство, орудие осуществления угроз (всех преднамеренных и определенной части случайных угроз)

- предмет, объект, среда осуществления угроз (как элемента человеко-машинной КС)

Сторонние
эксперты, конс.

Родственники,
друзья

Бывшие
работники

Структура потенциальных нарушителей (злоумышленников)

4. Человеческий фактор в угрозах безопасности и модель нарушителя

Неосознанные (не вполне, не до конца осознаваемые)
- Хулиганство
- Месть
- Зависть
- Недовольство
- Небрежность, недобросовестность

4. Человеческий фактор в угрозах безопасности и модель нарушителя

- категории лиц, в числе которых может оказаться нарушитель
- его мотивационные основания и преследуемые цели
- его возможности по осуществлению тех или иных угроз (квалификация, техническая и иная инструментальная оснащенность)
- наиболее вероятные способы его действий

Исходное основание для разработки
и синтеза системы защиты информации!!!

4. Человеческий фактор в угрозах безопасности и модель нарушителя

4-й (высший) уровень возможностей нарушителя
Весь объем
возможностей
лиц, осуществляю-
щих проектирование,
реализацию и
ремонт технических
средств АС,
вплоть до включения
в состав СВТ
собственных
технических средств
с новыми функциями
по обработке ин-
формации

3-й уровень
Возможность
управления
функционирова-
нием АС, т.е.
воздействием на
базовое програм-
мное обеспече-
ние системы и на
состав и
конфигурацию
оборудования

2-й уровень
Возможность
создания и
запуска
собственных
программ с
новыми
функциями
по обработке
информации

1-й уровень
Запуск задач
(программ) из фикси-
рованного набора,
реализующих заранее
предусмотренные
функции по обработке
информации

Модель нарушителя

Модель внутреннего нарушителя по РД ГосТехКомисии

4. Человеческий фактор в угрозах безопасности и модель нарушителя

Тема 1. Исходные положения теории компьютерной безопасности

52

Учебные вопросы:

1.Понятие политики и моделей безопасности информации в компьютерных системах
2.Монитор (ядро) безопасности КС
3.Гарантирование выполнения политики безопасности. Изолированная программная среда

1.Понятие политики и моделей безопасности информации в КС

Политика безопасности КС
-интегральная (качественная) характеристика, описывающая свойства, принципы и правила защищенности информации в КС в заданном пространстве угроз

Модель безопасности
-формальное (математическое, алгоритмическое, схемотехническое и т.п.) выражение политики безопасности

Политика безопасности организации
-совокупность руководящих принципов, правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности (ГОСТ Р ИСО/МЭК 15408)

1. Компьютерная система – система, функционирующая в дискретном времени: t0,t1,t2,…,tk,…
В каждый следующий момент времени tk КС переходит в новое состояние.
В результате функционирование КС представляет собой детерминированный или случайный процесс
- стационарность (временнόе поведение [количественных] параметров системы)
- эргодичность (поведение параметров системы по совокупность реализаций)
- марковость (память по параметрам системы)

2. Модели конечных состояний позволяют описать (спрогнозировать) состояние КС в момент времени tn,(n≥1), если известно состояние в момент t0 и установлены некоторые правила (алгоритмы, ограничения) на переходы системы из состояния tk в tk+1

1.Понятие политики и моделей безопасности информации в КС

3. В каждый момент времени tk КС представляется конечным множеством элементов, разделяемых на два подмножества:
-множество субъектов - S
-множество объектов – O

4. В каждый момент времени tk субъекты могут порождать процессы над объектами, называемыми доступами
Доступы субъектов к объектам порождают информационные потоки, переводящие КС в новое состояние tk+1 , в котором в т.ч. м. измениться декомпозиция КС на множество субъектов и множество объектов

1.Понятие политики и моделей безопасности информации в КС

Т.о. процесс функ-я КС нестационарный

Свойства субъектов:
-угрозы информации исходят от субъектов, изменяющих состояние объектов в КС
-субъекты-инициаторы могут порождать через объекты-источники новые объекты
-субъекты могут порождать потоки (передачу) информации от одних объектов к другим

1.Понятие политики и моделей безопасности информации в КС

- объекты-источники;
- объекты-данные

Create(Sj , Oi)→ Sm

Функционирование КС – нестационарный процесс, но в субъектно-объектной модели КС действует дискретное время ti. В любой момент времени ti множество субъектов, объектов-источников, объектов-данных фиксировано!!!

Определение 2.Объект в момент времени tk ассоциирован с субъектом , если состояние объекта Oi повлияло на состояние субъекта Sm в след. момент времени tk+1. (т.е. субъект Sm использует информацию, содержащуюся в объекте Oi).
Можно выделить: - множество функционально-ассоциированных объектов
- множество ассоциированных объектов-данных с субъектом Sm в момент времени tk

Следствие 2.1. В момент порождения объект-источник является ассоциированным с порожденным субъектом

Субъектно-объектная модель Щербакова

1.Понятие политики и моделей безопасности информации в КС

– потоки информации м.б. только между объектами (а не между субъектом и объектом)
– объекты м.б. как ассоциированы, так и не ассоциированы с субъектом Sm
– операция порождения потока локализована в субъекте и сопровождается изменением состояния ассоциированных (отображающих субъект) объектов
– операция Stream может осуществляться в виде "чтения", "записи", "уничтожения", "создания" объекта

Определение 4.Доступом субъекта к объекту Oj называется порождение субъектом Sm потока информации между объектом Oj и некоторым(и) объектом Oi (в т.ч., но не обязательно, объект Oi ассоциирован с субъектом Sm)

Будем считать, что все множество потоков информации P (объединение всех потоков во все tk) разбито на два подмножества
- множество потоков PL , характеризующих легальный доступ
- множество потоков PN, характеризующих несанкционированный доступ

Определение 5.Правила разграничения доступа, задаваемые политикой безопасности, есть формально описанные потоки, принадлежащие множеству PL .

1.Понятие политики и моделей безопасности информации в КС

Аксиома 5. Субъекты в КС могут быть порождены только ак- тивной компонентой (субъектами же) из объектов

1.Понятие политики и моделей безопасности информации в КС

- множество PL задается неявным образом через предоставление субъектам неких полномочий (допуска, мандата) порождать определенные потоки над объектами с определенными характеристиками конфиденциальности (метками, грифами секретности)

- множество PL задается через введение в системе дополнительных абстрактных сущностей – ролей, с которыми ассоциируются конкретные пользователи, и наделение ролевых субъектов доступа на основе дискреционного или мандатного принципа правами доступа к объектам системы

1.Понятие политики и моделей безопасности информации в КС

Компьютерная система

Компонент представления (файловая система в ОС)

Компонент доступа (система ввода-вывода в ОС)

Изолированность - монитор д.б. защищен от отслеживания и перехвата своей работы

Верифицируемость - монитор д.б. проверяемым на выполнение своих функций, т.е. быть тестируемым (самотестируемым)

Непрерывность - монитор должен функционировать при любых штатных и нештатных (в т.ч. и в аварийных) ситуациях

Монитор безопасности реализует политику безопасности на основе той или иной модели безопасности

2. Монитор (ядро) безопасности КС

- монитор безопасности объектов (МБО)
- монитор безопасности субъектов (МБС)

2. Монитор (ядро) безопасности КС

Определение 6.Монитором безопасности объектов (МБО) называется субъект, активизирующийся при возникновении потока между любыми объектами, порождаемым любым субъектом, и разрешающий только те потоки, которые принадлежат множеству PL

Определение 7.Монитором безопасности субъектов (МБС) называется субъект, активизирующийся при любом порождении субъектов, и разрешающий порождение субъектов только для фиксированного подмножества пар активизирующих субъектов и объектов-источников

Защищенная компьютерная система

2. Монитор (ядро) безопасности КС

Определение 9.Субъекты Si и Sj тождественны в момент времени tk , если попарно тождественны все соответствующие ассоциированные с ними объекты

Следствие 9.1. Порожденные субъекты тождественны, если тождественны порождающие их субъекты и объекты-источники

Определение 10.Субъекты Si и Sj называются невлияющими друг на друга (или корректными относительно друг друга), если в любой момент времени отсутствует поток (изменяющий состояние объекта) между любыми объектами Oi и Oj , ассоциированными соответственно с субъектами Si и Sj , причем Oi не ассоциирован с Sj, а Oj не ассоциирован с Si

(Изменение состояние объекта – не тождественность в соотв. моменты времени)

Исх. тезис -
при изменении объектов, функционально
ассоциированных с субъектом монитора безопасности
могут измениться свойства самого МБО и МБС,
что м. привести к нарушению ПБ

Утверждение 1.ПБ гарантированно выполняется в КС, если:
- МБО разрешает порождение потоков только из PL;
- все существующие в КС субъекты абсолютно корректны относительно МБО и друг друга

Достаточное условие гарантированного выполнения ПБ

МБО
субъект

На практике только корректность относительно МБО

Док-во:

∅

∅

∅

3. Гарантирование выполнения политики безопасности. ИПС.

Достаточное условие гарантированного выполнения ПБ

∅

На практике легче, чем полная корректность субъектов относительно друг друга

∅

∅

∅

∅

∅

Док-во:

3. Гарантирование выполнения политики безопасности. ИПС.

Определение 13.Множество субъектов КС называется изолированным (абсолютно изолированным), если в ней действует МБС и субъекты из порождаемого множества корректны (абсолютно корректны) относительно друг друга и МБС

Следствие 13.1. Любое подмножество субъектов изолированной (абсолютно изолированной) КС, включающее МБО и МБС, также составляет изолированную (абсолютно изолированную) программную среду

Называют "Изолированной программной средой (ИПС)"

Следствие 13.2. Дополнение изолированной (абсолютно изолированной) КС субъектом, корректным (абсолютно корректным) относительно любого из числа входящих в ИПС субъектов, оставляет КС изолированной (абсолютно изолированной)

3. Гарантирование выполнения политики безопасности. ИПС.

Утверждение 3.Если в момент времени t0 в изолированной КС действует только порождение субъектов с контролем неизменности объекта и существуют потоки между объектами через субъекты, не противоречащие условию корректности (абсолютной корректности) субъектов, то в любой момент времени КС также остается изолированной (абсолютно изолированной).

Базовая теорема ИПС

Док-во: 1.Из условия абс. корр. м.б. только такие потоки, которые изменяют состояние объектов, не ассоциированных в соотв. моменты времени с каким-либо субъектом. Отсюда не м.б. изменены объекты-источники.
2.Т.к. объекты-источники остаются неизменными, то мощность множества порождаемых субъектов нерасширяемо, и тем самым множество субъектов КС остается изолированным

Следствие 16.1. При порождении с контролем неизменности объектов субъекты, порожденные в различные моменты времени, тождественны Sm[t1]= Sm[t2]. При t1= t2 порождается один и тот же субъект.

3. Гарантирование выполнения политики безопасности. ИПС.

3. Гарантирование выполнения политики безопасности. ИПС.

Учебные вопросы:

1.Общая характеристика политики дискреционного доступа
2.Пятимерное пространство Хартсона
3.Модели на основе матрицы доступа
4.Модели распространения прав доступа

Литература:

Методы доступы

-виды действий (операций) субъектов над объектами КС (чтение/просмотр, запись/модификация/добавление, удаление, создание, запуск и т.п.)

Права доступа

-методы доступа (действия, операции), которыми обладают (наделяются, способны выполнять) субъекты над объектами КС

Политика (правила) разграничения доступа

-совокупность руководящих принципов и правил наделения субъектов КС правами доступа к объектам, а также правил и механизмов осуществления самих доступов и реализации информационных потоков

Разграничение доступа к информации (данным) КС

-разделение информации АИС на объекты (части, элементы, компоненты и т. д.), и организация такой системы работы с информацией, при которой пользователи имеют доступ только и только к той части информации (к тем данным), которая им необходима для выполнения своих функциональных обязанностей или необходима исходя из иных соображений
-создание такой системы организации данных, а также правил и механизмов обработки, хранения, циркуляции данных, которые обеспечивают функциональность КС и безопасность информации (ее конфиденциальность, целостность и доступность)

1. Общая характеристика политики дискреционного доступа

Виды политик (правил, механизмов) разграничения доступа

Политика мандатного разграничения доступа

-предоставление прав доступа субъектов к объектам неявным образом посредством присвоения уровней (меток) безопасности объектам (гриф конфиденциальности, уровень целостности), субъектам (уровень допуска/полномочий) и организация доступа на основе соотношения «уровень безопасности субъекта-операция-уровень безопасности объекта»

Политика тематического разграничения доступа

-предоставление прав доступа субъектам к объектам неявным образом посредством присвоения тематических категорий объектам (тематические индексы) и субъектам (тематические полномочия) и организация доступа на основе соотношения «тематическая категория субъекта-операция-тематическая категория объекта»

Политика ролевого разграничения доступа

Политика временнόго разграничения доступа

-предоставление пользователям прав работы в КС по определенному временному регламенту (по времени и длительность доступа)

Политика маршрутного доступа

-предоставление пользователям прав работы в КС при доступе по определенному маршруту (с определенных рабочих станций)

1. Общая характеристика политики дискреционного доступа

-агрегирование прав доступа к объектам в именованные совокупности (роли), имеющие определенный функционально-технологический смысл в предметной области КС, и наделение пользователей правом работы в КС в соответствующих ролях

Модели и механизмы реализации дискреционного разграничения доступа

Различаются:
-в зависимости от принципов и механизмов программно-информационной структуры объекта(объектов), ассоциированных с монитором безопасности, в которых хранятся «прописанные» права доступа (тройки доступа)
-в зависимости от принципа управления правами доступа, т.е. в зависимости от того – кто и как заполняет/изменяет ячейки матрицы доступа (принудительный и добровольный принцип управления доступом)
Выделяют:
-теоретико-множественные (реляционные) модели разграничения доступа (пятимерное пространство Хартсона, модели на основе матрицы доступа)
-модели распространения прав доступа (модель Харисона-Рузо-Ульмана, модель типизованной матрицы доступа, теоретико-графовая модель TAKE-GRANT)

1. Общая характеристика политики дискреционного доступа

- ресурсы
- вхождение пользователей в группы;
разрешенные операции для групп по отношению к ресурсам;

Элементы множества A - aijkl специфицируют:

Декартово произведение A×U×E×R×S - область безопасного доступа

Запрос пользователя на доступ представляет собой 4-х мерный кортеж: q = (u,e,R',s), где R' - требуемый набор ресурсов

Процесс организации доступа по запросу осуществляется по следующему алгоритму:

1.Вызвать все вспомогательные программы для предварительного принятия решения

2.Определить те группы пользователей, в которые входит u, и выбрать из A те спецификации полномочий P=F(u), которым соответствуют выделенные группы пользователей. Набор полномочий P=F(u) определяет т.н.привилегию пользователя

2. Пятимерное пространство Хартсона

На основе P=F(u), P=F(e) и P=F(R') образуется т.н. домен полномочий запроса:
D(q)= F(u)∩F(e)∩P=F(R')

2. Пятимерное пространство Хартсона

6.Осуществить разбиение D(q) на эквивалентные классы, так, чтобы в один класс попадали полномочия (элементы D(q)), когда они специфицируют один и тот же ресурс r из набора R'.
В каждом классе произвести операцию логического ИЛИ элементов D(q) с учетом типа операции e.
В результате формируется новый набор полномочий на каж-дую единицу ресурса, указанного в D(q) - F(u,q).Набор F(u,q) назы-вается привилегией пользователя u по отношению к запросу q.

авторизация

2. Пятимерное пространство Хартсона

8.Оценить EAC и принять решение о доступе:
- разрешить доступ, если R'' и R' полностью перекрываются;
- отказать в доступе в противном случае.

9.Произвести запись необходимых событий

10.Вызвать все программы, необходимые для организации доступа после "принятия решения".

11.Выполнить все вспомогательные программы, вытекающие для каждого случая по п.8.

12.При положительном решении о доступе завершить физическую обработку.

Но!!! Безопасность системы в строгом смысле не доказана

2. Пятимерное пространство Хартсона

A[si,oj]= aij - право r из R (т.е. не общее, а конкр. право)

Каждый элемент прав rk специфицирует совокупность операций над объектом
rk ~ (Op1k,Op2k,…,OpJk)

системы с принудительным управлением доступа;
системы с добровольным управлением доступом.

Принудительное управление доступом

- вводится т.н.доверенный субъект (администратор доступа), который и определяет доступ субъектов к объектам (централизованный принцип управления)

Жесткость, но и более четкий контроль

Добровольное управление доступом

- вводится т.н. владение (владельцы) объектами и доступ субъектов к объекту определяется по усмотрению владельца (децентрализованный принцип управления)

Гибкость, но и сложность контроля

- в таких системах субъекты посредством запросов могут изменять состояние матрицы доступа

- в таких системах заполнять и изменять ячейки матрицы доступа может только администратор

3. Модели на основе матрицы доступа

Децентрализованная распределенная информационная структура

СУБД

системная таблица с назначениями доступа

3. Модели на основе матрицы доступа

Объект 1

Объект 2

…

Структура списков доступа на примере NTFS

C каждым объектом NTFS связан т.н. дескриптор защиты, состоящий из:

ID влад.

ID перв. гр. влад.

DACL

SACL

DACL – последовательность произв. кол-ва элементов контроля доступа – АСЕ, вида:

SACL – данные для генерации сообщений аудита

Allowed /
Denied

ID субъекта
(польз., группа)

Права доступа
(отображ-е)

Флаги,
атрибуты

Объекты д.б. зарегистрированы в системе

Д.б. обеспечен контроль целостности ACL

3. Модели на основе матрицы доступа

В модели Харрисона-Руззо-Ульмана помимо элементарных опе-раций доступа Read, Write и т.д., вводятся также т.н. прими-тивные операции Opk по изменению субъектами матрицы доступа:
Enter r into (s,o) - ввести право r в ячейку (s,o)
Delete r from (s,o) - удалить право r из ячейки (s,o)
Create subject s - создать субъект s (т.е. новую строку матрицы A)
Create object o - создать объект o (т.е. новый столбец матрицы A)
Destroy subject s - уничтожить субъект s
Destroy object o - уничтожить объект o

Состояние системы Q изменяется при выполнении команд C(α1, α2, …), изменяющих состояние матрицы доступа A. Команды инициируются пользователями-субъектами

Структура команды

Название

[Условия] (необяз.)

Операции

Command α(x1,…xk)
if r1 in A[s1,o1] and r2 in A[s2,o2] …
then; Op2 ; …;
end

xi – идентификаторы задействованных субъектов или объектов

Команды с одной операцией – монооперационные, с одним условием - моноусловные

4.Модели распространения прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU)

Command "создать файл"(s, f):
Create object f ;
Enter "own" into (s, f ) ;
Enter "read" into (s, f ) ;
Enter "write" into (s, f ) ;
end

Примеры команд -

Command «ввести право чтения"(s,s',f):
if own ⊆ (s, f ) ;
then
Enter r "read" into (s', f ) ;
end

Формулировка проблемы безопасности для модели Харрисона-Руззо-Ульмана:
Существует ли какое-либо достижимое состояние, в котором конкретный субъект обладает конкретным правом доступа к конкретному объекту? (т.е. всегда ли возможно построить такую последовательность запросов при некоторой исходной конфигурации когда изначально субъект этим правом не обладает?)

4.Модели распространения прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU)

Теорема 2. Проблема безопасности неразрешима в общем случае

Выводы по модели Харрисона-Руззо-Ульмана:
-данная модель в ее полном виде позволяет реализовать множество политик безопасности, но при этом проблема безопасности становится неразрешимой
-разрешимость проблемы безопасности только для монооперационных систем приводит к слабости такой модели для реализации большинства политик безопасности (т.к. нет операции автоматического наделения своими правами дочерних объектов, ввиду чего по правам доступа они изначально не различимы)

Харрисон, Руззо и Ульман показали :

Док-во
на основе
моделирования
системы
машиной
Тьюринга

4.Модели распространения прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU)

Command “запустить файл"(s1, f ):
if execute ∈ [s1, f ] ;
then
Create subject f ' ;
Enter "read“ into [f ',o1];
Enter "read" into [f ',o3];
if write ∈ [s1,o2] ;
then
Enter “write“ into [f',o2];
end

Command “скопировать файл o3 программой f ' в o2“ (f ',o3, o2):
if read ∈ [f ', o3] and
write ∈ [f ', o2]
then
Create object o';
Write (f ', o3 , o');
if read ∈ [s2, o2] ;
then
Enter "read" into [s2,o'];
end

4.Модели распространения прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU)

Определение 1. Тип τk является дочерним типом в команде созда- ния α(x1:τ1, x2:τ2,…, xk:τk), если и только если имеет место один из следующих элементарных операторов: "Create subject xk of type τk" или "Create object xk of type τk". В противном случае тип τk является родительским типом.

Анализ проблем безопасности в модели ТАМ
основывается на понятии родительских и дочерних типов

Вводится
Граф отношений
наследственности

Command α(x1:τ1, x2:τ2,…, xk: τk)

4.Модели распространения прав доступа. 4.2.Модель типизованной матрицы доступа (модель TAM)

2-й шаг. α(s3:u, o1:v):
Create subject s3 of type u ;
Inter r'' into [s3, o1] ;
end

1-й шаг. α(s1:u, s2:w, o1:v):
Create object o1 of type v ;
Inter r into [s1, o1] ;
Create subject s2 of type w ;
Inter r' into [s2, o1] ;
end

v – дочерний тип в команде α, в теле которой имеются еще типы u, w. Т.о. в Графе отношений наследственности возникают дуги (u,v), (w,v) и в т.ч. (v,v)

w – дочерний тип в команде α, в теле которой имеются еще типы u, v. Т.о. в Графе отношений наследственности возникают дуги (u,w), (v,w) и в т.ч. (w,w)

u – дочерний тип в команде α, в теле которой имеются еще тип v. Т.о. возникают дуги (v,u) и в т.ч. (u,u)

4.Модели распространения прав доступа. 4.2.Модель типизованной матрицы доступа (модель TAM)

Также, как и в модели HRU, используется понятие монотонной (МTAM) системы, которая не содержит примитивных операторов Delete и Destroy.

Теорема 3. Проблема безопасности разрешима для ацикличных реализаций МTAM

4.Модели распространения прав доступа. 4.2.Модель типизованной матрицы доступа (модель TAM)

1.Также как и в модели HRU система защиты представляет совокупность следующих множеств:
- множество исходных объектов O (o1,o2,…,oM)
- множество исходных субъектов S (s1,s2,…,sN), при этом S ⊆ O
- множество прав, которые м.б. даны субъектам по отношению к объектам (r1,r2,…,rK) ∪ {t, g}, в том числе с двумя специфическими правами – правом take (t – право брать права доступа у какого-либо объекта по отношению к другому объекту) и правом grant (g – право предоставлять права доступа к определенному объекту другому субъекту)
множеством E установленных
прав доступа (x, y, α) субъекта x
к объекту y с правом α из конеч-
ного набора прав. При этом сос-
тояние системы представляется
Графом доступов Г

Джонс, Липтон, Шнайдер, 1976г.

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

Команда "Брать" – take(α, x, y, z)

Команда «Давать" – grant(α, x, y, z)

субъект x берет права доступа α ⊆ β на объект z у объекта y (обозначения: ├с – переход графа Г в новое состояние Г' по команде c ; x∈ S; y, z∈ O)

субъект x дает объекту y право α ⊆ β на доступ к объекту z

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

Команда «Изъять" – remove(α, x, y)

субъект x удаляет права доступа α ⊆ β на объект y

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

3.1. Санкционированное получение прав доступа

Определение 3. Для исходного состояния системы Г0 (O0, S0, E0) и прав доступа α ⊆ R предикат "возможен доступ(α,  x,  y, Г0 )" является истинным тогда и только тогда, когда существуют графы доступов системы Г1 (O1, S1, E1), Г2 (O2, S2, E2), …, ГN (ON, SN, EN), такие, что:
Г0 (O0, S0, E0) ├с1 Г1 (O1, S1, E1) ├с2…├сN ГN (ON, SN, EN) и (x, y,α)∈ EN
где c1,  c2, …, cN – команды переходов

Определение 4. Вершины графа доступов являются tg-связными (соединены tg-путем), если в графе между ними существует такой путь, что каждая дуга этого пути выражает право t или g (без учета направления дуг)

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

получение прав α доступа субъектом x у субъекта s на объект y при различных вариантах непосредственной tg-связности

Доказательство

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

4.Модели распространения прав доступа. 4.5.Расширенная (extended) модель TAKE-GRANT

имеется неявная возможность передачи (записи) [конфиденциальной] информации из объекта y субъекту x, когда тот осуществляет доступ r к объекту y

имеется неявная возможность получения (чтения) объектом y [конфиденциальной] информации от субъекта x], когда тот осуществляет доступ w к объекту y

4.Модели распространения прав доступа. 4.5.Расширенная (extended) модель TAKE-GRANT

субъект x получает возмож-ность чтения информации из объекта z, осуществляя доступ r к субъекту y, который, в свою очередь, осуществляет доступ r к объекту z, при этом также у субъекта x возникает возможность записи к себе информации из объекта  z

4.Модели распространения прав доступа. 4.5.Расширенная (extended) модель TAKE-GRANT

при осуществлении субъек-том y доступа r к объекту z возникает неявная возмож-ность внесения из него конф. информации в другой объект x, к которому субъект y осуществляет дос-туп w, и, кроме того, возни-кает возможность получе-ния информации (чтения) объектом x из объекта z

4.Модели распространения прав доступа. 4.5.Расширенная (extended) модель TAKE-GRANT

- при допущении возможности или при наличии достоверных фактов о состоявшемся неявном информационном потоке от одного объекта(субъекта) к другому объекту(субъекту), анализировать и выявлять круг возможных субъектов-"заговорщиков" несанкционированного информационного потока

- для какой-либо пары объектов (субъектов) осуществлять анализ не только возможности неявного информационного потока, но и количественных характеристик по тому или иному маршруту:
возможно взвешивание мнимых дуг на Графе доступов посредством оценки вероятности их возникновения
возможны количественные сравнения различных вариантов возникновения неявного потока по длине пути на Графе доступов

- оптимизировать систему назначений доступа по критериям минимизации возможных неявных информационных потоков

4.Модели распространения прав доступа. 4.5.Расширенная (extended) модель TAKE-GRANT

Недостатки дискреционных моделей

Слабые защитные характеристики из-за невозможности для реальных систем выполнять все ограничения безопасности
Проблема "троянских коней"
Сложности в управлении доступом из-за большого количества назначений прав доступа

Учебные вопросы:

1.Общая характеристика моделей полномочного (мандатного) доступа
2.Модель Белла-ЛаПадулы
3.Расширения модели Белла-ЛаПадулы

Литература:

1. Общая характеристика моделей мандатного доступа

Гл. задача:
не допустить утечки информации из документов
с высоким грифом секретности к сотрудникам
с низким уровнем допуска

Основные положения моделей мандатного доступа

Устанавливается функция (процедура) присваива-ния субъектам и объектам уровней безопасности

Управление и контроль доступом субъектов к объектам производится на основе двух правил:

1.Запрет чтения вверх (no read up - NRU) - субъект не может читать объект с уровнем безопасности, большим своего уровня безопасности

Для управления (разграничения) доступом к объектам одного уровня конфиденциальности используют дискреционный принцип, т.е. дополнительно вводят матрицу доступа

т.о. в моделях мандатного доступа
устанавливается жесткое управление доступом с целью
контроля не столько операций, а потоков между сущностям с
разным уровнем безопасности

Функция уровня безопасности FL: X→ L

2. Состояние называется безопасным по записи (или *-безо- пасным) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ записи к объекту, уровень безопасности объекта доминирует над уровнем безопасности этого субъекта:
∀s∈S, ∀o∈O, write ∈ А[s,o]→fL(o)≥fL(s)

3. Состояние безопасно тогда и только тогда, когда оно безопасно и по чтению, и по записи

На основе определений 1,2 и 3 критерий безопасности:

Система Σ(v0 , Q, FT) безопасна тогда и только тогда, когда ее начальное состояние v0 безопасно и все состояния, достижимые из v0 путем применения конечной последовательности запросов из Q безопасны

Недостатки модели Белла-ЛаПадулы:

возможность ведения операций доступа (Delete), не влияющих с т.зр. модели на безопасность, которые тем не менее могут привести к потери данных
проблема Z-системы (Мак-Лин) - такая система, в которой при запросе все сущности м.б. деклассифицированы до самого низкого уровня и тем самым м.б. осуществлен любой доступ (в модели не заложены принципы и механизмы классификации объектов)
отсутствие в модели доверенных субъектов-администраторов Типовые действия администраторов (создание пользователей, установление их полномочий и т.д.) не могут ни приводить к нарушениям безопасности с т.зр. модели Белла-ЛаПадулы

Функция перехода FT(v,q)=v* безопасна по чтению когда:
1. Если read ∈A*[s,o] и read ∉A[s,o], то fLs(s)≥fLo(o) и fL=fL*
2. Если fLs≠fLs*, то A=A*, fLo=fLo* , для ∀s и o, у которых fLs*(s)3. Если fLo≠fLo*, то A=A*, fLs=fLs* , для ∀s и o, у которых fLs*(s)

Функция перехода FT (v,q)=v* безопасна по записи когда:
1.Если write ∈A*[s,o] и write ∉A[s,o],то fLo(o)≥fLs(s) и fL=FL*
2. Если fLs≠fLs*, то A=A*, fLo=fLo* , для ∀s и o, у которых fLs*(s)>fLo*(o), - write ∉A[s,o]
3. Если fLo≠fLo*, то A=A*, fLs=fLs* , для ∀s и o, у которых fLs*(s)>fLo*(o), - write ∉A[s,o]

Нельзя изменять одновременно
более одного компонента состояния системы. Можно:
-либо ввести новое отношение доступа
-либо изменить уровень субъекта
-либо изменить уровень объекта

Критерий безопасности
Мак-Лина для функции перехода

Теорема безопасности Мак-Лина.
Система безопасна в любом состоянии и в процессе переходов между ними, если ее начальное состояние безопасно, а функция перехода удовлетворяет критерию безопасности Мак-Лина

Но! Нет контроля самого
процесса изменения уровней безопасности сущностей
в процессе осуществления переходов

Соответственно функция переходов системы Σ(v0,Q, FTа) – FTа приобретает дополнительный параметр авторизации

Функция перехода FTа(v,s,q) в модели с называется авторизованной тогда и только тогда, когда для каждого перехода FTа(v,s,q)=v* , при котором:
для ∀x∈S∪O: если fL(x) ≠ fL(x), то s∈С(S)

Система Σ(v0,Q, FTa) c доверенными субъектами безопасна если :
1.Начальное состояние v0 безопасно и все достижимые состояния безопасны по критерию Белла-ЛаПадулы
2.Функция переходов FTа является авторизованной

В матрице доступа вводятся групповые объекты и др.

Доступ к определенной информации или модификация ее уровня безопасности может осуществляться только в результа-те совместных действий нескольких пользователей (т.е. только в результате группового доступа- z.b. гриф секретности документа м.б. изменен только совместными действиями владельца-исполнителя и администратора безопасности )

Вводится дополнительная операция reset(s,o), которая повышает до максимального уровень безопасности объекта при условии F(s)>F(o). В результате субъекту м.б. доступен по write любой объект

Тем не менее модель Белла-ЛаПадулы оказала сильное влияние на развитие моделей безопасности и стандартов защищенности КС

Учебные вопросы:

1.Общая характеристика тематического разграничения доступа
2.Тематическая решетка мультирубрик иерархического рубрикатора
3.Модели тематико-иерархического разграничения доступа

Литература:

Политика тематического разграничения доступа

Дескрипторная тематичес-кая классифи-кация

Политика тематического разграничения доступа

2. На иерархическом рубрика-торе при монорубрициро-ванной классификации
решетка Λи(Tи∅, ≤, supи, infи) на корневом дереве рубрикатора Tи ={τ1,τ2,…,τM } путем добавления вершины τ0 (с пус-той тематикой) и замыкания на нее всех листовых вершин

решетка Λи(T л, ⊆, ∪ил, ∩) листовых подмножеств вершин на корневом дереве рубрикатора. Решетки Λи(Tи∅, ≤, supи, infи) и Λи(T л, ⊆, ∪ил, ∩) изоморфны

решетка мультирубрик Λи(Tм,≤м,∪м, ∩м)

Определение 1. Мультирубрика T мi доминирует над мультирубрикой T мj  – {τ(j)1, τ(j)2,…, τ(j)J} ≤ {τ(i)1, τ(i)2,…, τ(i)I} в том и только в том случае, когда для любого m=1,…,J  существует k=1,…,I такое, что τ(j)m ≤ τ(i)k (вершина τ(j)m   подчинена по корневому дереву вершине τ(i)k):
∀ τ(j)m∈ T мj , ∃ τ(i)k∈ T мi ∧ τ(j)m ≤ τ(i)k .

T м2 ≤мT м6, T м4 ≤мT м3, T м5 ≤мT м3, T м6=T м1∩мT м2, T м3= T м4 ∪м T м5

Лемма 1. Множество рубрик T м∪ = T мi  ∪м T мj, формируемое на основе объединения мультирубрик по определению 2,
а) является мультирубрикой;
b) доминирует над мультирубриками T мi  и T мj, т.е. T мi ≤ T м∪ ∧ T мj ≤ T м∪ ;
c) является наименьшей верхней границей мультирубрик  T мi  и T мj.

τ20

{τ7 , τ8 }  ∪м {τ11, τ12, τ9}
1) {τ7 , τ8 , τ11, τ12, τ9}
2) {τ7 , τ8 , τ11, τ9}
3) {τ11, τ7 , τ4}

Лемма 2. Множество рубрик T м∩ = T мi  ∩м T мj, формируемое на основе пересечения мультирубрик по определению 3,
а) является мультирубрикой;
b) доминируется мультирубриками T мi  и T мj, т.е. T м∩ ≤ T мi  ∧ T м∩ ≤ T мj ;
c) является наибольшей нижней границей мультирубрик  T мi  и T мj.

τ20

{τ7 , τ8 }  ∩м {τ11, τ12, τ9}
1) {τ7 , τ8} → ∅
2) {τ11, τ12, τ9} → {τ12}
3) ∅ ∪ {τ12}= {τ12}

2.Информационно-логическая схема предметной области системы ΣТии представляется тематическим иерархическим классификатором (рубрикатором). Рубрикатор включает конечное множество тематических рубрик Tи ={τ1,τ2,…, τM}, на котором установлен частичный порядок, задаваемый корневым деревом

τ20

3. Модель тематико-иерархического разграничения доступа

4.Тематический критерий безопасности. Система ΣТии безопасна тогда и только тогда, когда в ней отсутствуют потоки следующих видов:
- от сущностей с более широкой тематикой к сущностям с более узкой тематикой;
- между несравнимыми по тематике сущностями.

3. Модель тематико-иерархического разграничения доступа

Правило 1. Доступ субъекта s к объекту o, вызывающий поток по чтению Stream(s)←o , неопасен и может быть МБО разрешен тогда и только тогда, когда мультирубрика субъекта доминирует над мультирубрикой объекта:
fм[s] ≥ fм[o]

Правило 2. Доступ субъекта s к объекту o, вызывающий поток по записи Stream(s)→o , неопасен и может быть МБО разрешен тогда и только тогда, когда мультирубрика объекта доминирует над мультирубрикой субъекта:
fм[o] ≥ fм[s]

3. Модель тематико-иерархического разграничения доступа

Правило 3. Порождение субъектом s нового объекта o', в том числе и за счет чтения из другого объекта o, неопасно и может быть МБО разрешено тогда и только тогда, когда мультирубрика субъекта доминирует над мультирубрикой объекта o, при этом МБО присваивает новому объекту o' мультирубрику, равную или доминирующую над мультирубрикой субъекта:
fм[o] ≤ fм[s] ≤ fм[o' ]

Правило 4. Инициализация субъектом s нового субъекта s' посредством воздействия на объект источник o неопасна и может быть МБС разрешена тогда и только тогда, когда мультирубрика субъекта доминирует над мультирубрикой объекта-источника, при этом МБС присваивает новому субъекту мультирубрику, тождест-венную мультирубрике инициализирующего субъекта:
fм[o] ≤ fм[s] ≡ fм[s' ]

3. Модель тематико-иерархического разграничения доступа

Правило 5. Одновременный множественный доступ субъекта s к объектам o1, o2,… или субъектов s1, s2,… к объекту o может быть разрешен (неопасен) тогда и только тогда, когда выполняются следующие условия:
при доступе по чтению
fм[s] ≥ ∪м{ fм[o1], fм[o2],…}
fм[o] ≤ ∪м{ fм[s1], fм[s2],…}
при доступе по записи
fм[s] ≤ ∩м{ fм[o1], fм[o2],…}
fм[o] ≥ ∩м{ fм[s1], fм[s2],…}

Доказательство

По условиям теоремы при санкционировании потока o1→ o2 имеем:
fм[s] ≥ fм[o1]  ∧ fм[o2] ≥ fм[s] 
Отсюда следует, что: fм[o2] ≥ fм[o1]  
Аналогично по условиям теоремы при санкционировании потока s1→ s2 имеем
fм[s1] ≤ fм[o]  ∧ fм[s2] ≥ fм[o] .
Отсюда следует, что: fм[s2] ≥ fм[s1] 

Учебные вопросы:

1.Модели ролевого доступа
2.Модели индивидуально-группового доступа
3.MMS-модель

Литература:

Вместо субъекта
- пользователь (конкретная активная сущность)
- роль (абстрактная активная сущность)

Неформально Роль: - типовая работа в КС (ИС) определенной группы пользователей

Аналог -нормативное положение, функциональные обязанности и права сотрудников по определенной должности

например м.б. роли-
кассира, бухгалтера, делопроизводителя, менеджера и т.п.

Формально РОЛЬ - активно действующая в КС абстрактная сущность, обладающая логически взаимосвязанным набором полномочий, необходимых для выполнения определенных функциональных обязанностей
- выделенная и обособленная совокупность полномочий над определенной группой или тематикой ресурсов (объектов), имеющая отдельное и самостоятельное значение в предметной области КС (ИС)

Впервые в продуктах
управления доступом корп.
IBM(70-80.гг.)

Устанавливаются отношения:
FPℜ - P х ℜ - отображение множества полномочий на множество ролей, например в виде ролевой матрицы доступа (Apρ )
FUℜ - U х ℜ - отображение множества пользователей на множество ролей, например, в виде матрицы "пользователи-роли", задающая набор доступных пользователю ролей (Auρ)

Организация доступа в две стадии-
-создаются роли и для каждой из них определяются полномочия
-каждому пользователю назначается список доступных ролей

1. Модели ролевого доступа

Критерий безопасности:
-система считается безопасной, если любой пользователь,
работающий в сеансе s, может осуществить действия,
требующие полномочий p, только в том случае , если
p =fpermissions(s)

1. Модели ролевого доступа

Наиболее распространены модели с иерархической организацией ролей

-чем выше роль по иерархии, тем больше полномочий
-если пользователю присвоена какая-то роль, то ему автоматически присваиваются все роли ниже по иерархии

Ближе к реальной жизни

1. Модели ролевого доступа

Функции:
f hroles - S→P(ℜ) – назначает каждому сеансу s определяет набор ролей из иерархии ролей пользователя, работающего в этом сеансе: f hroles(s)={ρi |(∃ ρ' ≥ ρi (fuser(s), ρ') ∈ Ahuρ )}
f hpermissions - S→P – определяет полномочия сеанса s как совокуп- ность полномочий всех задействованных пользователем в нем ролей и полномочий всех ролей, подчиненных им: f hpermissions(s)= ∪ρ∈f hroles(s){pi|(∃ ρ''≤ ρ (pi ,ρ'')∈Apρ )}

1. Модели ролевого доступа

Строго таксономический листовой подход

1. Модели ролевого доступа

F hPℜ(ρ лj) = {p(j)1, p(j)2,…} ,
F hPℜ(ρ лj) ∩ F hPℜ(ρ лi)∩…=∅ ,
F hPℜ(ρ лj) ∪ F hPℜ(ρ лi)∪…= P .
F hPℜ(ρ иk) = F hPℜ(ρ(k)i) ∪ ∪ F hPℜ(ρ(k)j) ∪ … ,
где {ρ(k)i, ρ(k)j, …} – полный набор ролей-сыновей для роли ρиk.
F hPℜ(ρ и1) = P

1. Модели ролевого доступа

1. Модели ролевого доступа

т.н.статическое
разделение обязанностей

Ограничения на одновременное использование ролей в одном сеансе
- множество ролей разбивается на подмножества, несовместимых ролей(z.b. "администратор"-"аудитор"). В ходе одного сеанса пользователь может активизировать из каждого подмножества не более одной роли.

Количественные ограничения по назначению ролей одному пользователю

т.н.динамическое разделение обязанностей

Групповое назначение ролей одному пользователю
- роль м.б. назначена тогда, когда одновременно назначена еще группа обязательных для данной роли других ролей

1. Модели ролевого доступа

Определение.  Рабочей группой называется совокупность пользователей, объединенных едиными правами доступа к объектам и (или) едиными привилегиями (полномочиями) выполнения определенных процедур обработки данных

Рабочая группа в отличие от роли не является самостоятельным субъектом доступа

Отношение «Пользователи-группы» - «многие-ко-многим»

Разделение процесса функционирования на КС не является существенным, поскольку пользователь всегда получает полномочия всех групп, в которые входит

Наследование прав по групповой иерархии происходит «сверху-вниз»

Rg = A[g,o] +A[gg1,o] + A[gg2,o] + … , где {gg1, gg2,…}= fgroups(g)

Степень доверия пользователю- уровень благонадежности персоны (иначе допуск пользователя) - априорно заданная характеристика

Пользовательский идентификатор- строка символов, используемая для того, чтобы отметить пользователя в системе. Для использова- ния системы пользователь д. предъявить ей идентификатор, система должна провести аутентификацию пользователя (login)

Пользователь- персона, уполномоченная для использования системы

Роль - работа, исполняемая пользователем. Пользователь в любой момент времени (после login до logon) всегда ассоциирован как минимум с одной ролью из нескольких. Для действий в данной роли пользователь д.б. уполномочен. Некоторые роли в конкр. момент времени м.б. связаны только с одним пользователем. С любой ролью связана способность выполнения определенных операций

Объект- одноуровневый блок информации. Это минимальный блок информации в системе, который м. иметь классификацию, т.е. м.б. раздельно от других поименован. Объект не содержит других объектов (т.е. он не многоуровневый)

Сущность- объект или контейнер

Требование степени доверия объектов- атрибут некоторых контей- неров. Для некоторых контейнеров важно требовать минимум сте- пени доверия, т.е. пользователь, не имеющий соответствующего уровня благонадежности, не может просматривать содержимое контейнера. Такие контейнеры помечаются соотв. атрибутом.

Идентификатор (ID)- имя сущности без ссылки на другие сущности

Ссылка на сущность прямая- если это идентификатор сущности

Операция- функция, которая м.б. применена к сущности (читать, модифицировать и т.д.). Некоторые операции м. использовать более одной сущности (z.b. Copy)

Ссылка на сущность косвенная- если это последовательность двух и более идентификаторов (имен) сущностей, первая из которых - контейнер.

Множество доступа- множество троек (Пользовательский идентификатор или роль - Операция - Индекс операнда), которое связано с сущностью (т.е. дескрипторы доступа объекта)

3. MMS (military message system)-модель

Система функционирует безопасно, если
-пользователи ведут себя корректно (не компрометируют систему) на основе некоторых предположений
- система защиты (монитор безопасности) реализует определенные ограничения политики безопасности)

Предположения MMS-модели,которым д. следовать пользователи системы

А1. Администратор безопасности корректно присваивает уровни доверия, классификацию устройств и правильные множества ролей

А2. Пользователь определяет корректную классификацию, когда вводит, изменяет, объединяет или переклассифицирует информацию

А3. В пределах установленной классификации пользователь классифицирует сообщения (информацию) и определяет набор (множество) доступа (роли,операции,требуемые степени доверия) для сущностей, которые он создает

А4. Пользователь должным образом контролирует информацию объектов, требующих благонадежности

3. MMS (military message system)-модель

В2. Классификационная иерархия - классификация контейнера всегда больше или равна классификации сущностей, которые он содержит

В3. Изменения в объектах - информация, переносимая из объекта всегда содержит классификацию объекта. Информация, вставляемая в объект, должна иметь классификацию ниже классификации этого объекта (аналог NWD)

В4. Просмотр - пользователь может просматривать (на некотором устройстве вывода) только сущности с классификацией меньше, чем классификация устройства вывода и степень доверия контей- нера-устройства к пользователям (аналог NRU + NRUустроств)

В5. Доступ к объектам, требующим степени доверия - пользователь может получить доступ к косвенно адресованной сущности внутри контейнера, требующего степени доверия, если только его степень доверия не ниже классификации контейнера

В6. Преобразование косвенных ссылок - пользовательский индикатор признается законным для сущности, к которой он обратился косвенно, если только он авторизован для просмотра этой сущности через ссылку

3. MMS (military message system)-модель

В8. Установка степеней доверия, ролей, классификация устройств - только пользователь с ролью администратора безопасности системы м. устанавливать данные значения. Текущее множество ролей пользователя м.б. изменено только администратором безопасности системы или самим же этим пользователем

В9. Понижение классификации информации - никакая классифици-рованная информация не м.б. понижена в уровне своей классификации, за исключением случая, когда эту операцию выполняет пользователь с ролью "Пользователь, уменьшающий классификацию информации"

В10. Уничтожение - операция уничтожения информации проводится только пользователем с ролью "Пользователь, уничтожающий информацию"

Модель Лендвера-Маклина (MMS) сочетает принципы:
ролевого, дискреционного и мандатного принципов и оказывает сильное влияние на модели и технологии современных защищенных КС

3. MMS (military message system)-модель

Учебные вопросы:

1. Понятие и общая характеристика скрытых каналов утечки информации
2. Автоматная модель невлияния Гогена-Месигера (GM-модель)
3. Теоретико-информационные модели невыводимости и невлияния (невмешательства)

Литература:

1. Понятие и общая характеристика скрытых каналов утечки информации

Одна из самых сложных проблем безопасности КС:
скрытые каналы утечки информации

Определение 1.- механизм, посредством которого в КС может осуществляться информационный поток (передача информации) между сущностями в обход политики (правил) разграничения доступа

В моделях дискреционного доступа
- возможность осуществления доступа субъектов к объектам вне области безопасного доступа, к примеру, вне явных разрешений, "прописанных" в матрице доступа (потоки за счет "троянских программ" и неявные информационные потоки – за счет доступа к общим объектам).

В моделях мандатного доступа
- потоки "сверху вниз" – от сущностей с высоким уровнем безопасности к сущностям более низких уровней безопасности вне явного нарушения правил NRU и NWD (т.е. без непосредственного доступа к объектам на чтение или запись)

Три вида:

Пусть имеется система, в которой работают доверенный и недоверенный пользователь, разделяющие общий ресурс памяти

Состояние системы

Информация, полученная по
скрытому каналу

1. Соотношение памяти 50Х50

2. Соотношение памяти 70Х30

1 бит

3. Соотношение памяти 50Х50

1 бит

4. Соотношение памяти 70Х30

1 бит

Подходы к перекрытияю скрытых каналов
информационное нвлияние и невыводимость

Особая (автоматная) разновидность класса моделей конечных состояний
КС можно представить детерминированным автоматом, на вход которого поступает последовательность команд пользователей
для каждой команды каждого пользователя задана функция вывода, определяющая то, что каждый пользователь "видит" на выходе (на устройстве вывода)

два уровня безопасности (решетка из 2-х элементов) – высокий (high) и низкий (low)
соответственно в системе работает две группы пользователей – высокоуровневые и низкоуровневые

Критерий безопасности в GM-модели - ввод высокоуровневого пользователя не может смешиваться с выводом низкоуровневого пользователя

2.На множестве пользователей u вводится функция cl(u), отражающая уровень доверия пользователю (низкий или высокий)

3.Переходы системы по командам пользователей описываются функцией:
- out(u, hist.соmmand(u))
где hist.соmmand(u) - история вводов системы (traces) от момента, когда был осуществлен последний ввод in(u) пользователя u.

4.Вводится функция очищения ввода purge - очищает историю ввода traces от наличия в ней команд пользователей, чей уровень доверия ниже уровня доверия пользователя u

2. Автоматная модель невлияния Гогена-Месигера (GM-модель)

На этой основе в рамках политики
полномочного доступа рассматривается
следующая система:

H и L
являются случайными
величинами

Информационное невлияние (невмешательство)

Информационная невыводимость

Подходы к решению проблемы
скрытых каналов на основе теоретико-информационной
интерпретации моделей КС (идеи Д.Денинга):

Состояния
КС, в т.ч. в части
конфиденциальных объектов
имеют вероятностный характер.
Понятие информационных
потоков расширяется в рамках
трактовки информации по
К.Шеннону

Модели информационной невыводимости и информационного невлияния
- теоретическая основа недопущения и нейтрализации скрытых каналов утечки информации и информационного воздействия

Информационная невыводимость

Определение 3.Система безопасна в смысле информационной невыводимости, если в ней отсутствуют информаци- онные потоки вида, описанного в Определении 1

иначе - нет информационного потока от H к L тогда и только тогда, когда выполняется следующее условие:
если p(H)>0, p(L)>0, то p(H|L)>0

т.е. наблюдая L,
можно вывести
информацию о
состоянии H
(утечка по скры-
тому каналу
«сверху-вниз»)

Но – при p(H)>0, p(L)>0 ⇒ p(L|H) = p(H,L)/p(H) = p(H|L)p(L)/p(H)

Отсюда из p(H|L)>0 ⇒ p(L|H)>0

т.е. при каком-либо L м.б. раз-личные H с ненулевой вер-ю

Понятие информации по Шеннону
- изменение степени неопределенности знания о состоянии объекта или само изменение степени неопределенности состояния объекта

3. Теоретико-информационные модели невыводимости и невлияния (невмешательства)

p(L|H)= p(L), что при p(H)>0, p(L)>0 равносильно p(H|L)= p(H)

С другой стороны нельзя также требовать - p(Lt|Ht-1 ) = p(Lt ) (z.b. после сбоя значение несекретного файла может определяться на осно-ве состояния файла аудита до сбоя)

Информационное невлияние (невмешательство)

Определение 4.Система безопасна, если на состояние высокоуровне- вых объектов не влияет состояние низкоуровневых объектов в предшествующие моменты времени, и наоборот

Вместе с тем:
потоки «снизу-вверх» неопасны и допустимы
при полной изоляции разноуровневых объектов существенно снижается функциональность КС

Другой подход

p(Lt|Ht-1 ) = p(Lt) p(Ht|Lt-1 ) = p(Ht)

Поэтому требования информационного
невлияния смягчаются - низкоуровневые объекты
не должны иметь возможности накапливать информацию о
значениях высокоуровневых объектах (чтобы знание
Lt-1 и Lt не давало бы новой информации о Ht-1 ):

p(Lt|Ht-1 , Lt-1 ) = p(Lt|Lt-1 )

что равносильно - p(Ht-1|Lt , Lt-1 ) = p(Ht-1|Lt-1 )

т.е. запрещается поток из Lt в Ht-1 , но !!! не запрещается из Lt в Ht+1

т.о. высокоуровневые объекты могут принимать информацию о состоянии низкоуровневых объектов в предыдущие моменты времени (неопасные потоки «снизу-вверх»)

3. Теоретико-информационные модели невыводимости и невлияния (невмешательства)

- Технологии «разрешенных процедур» в АС

3. Теоретико-информационные модели невыводимости и невлияния (невмешательства)

На языке SQL
CREATE VIEW ИмяПредставления [(поле1[, поле2[, ...]])] AS инструкция_SELECT __ ;
GRANT SELECT ON ИмяПредставления TO ИмяПользователя;

- эффективное средство решения проблемы скрытых каналов утечки информации по памяти, но не защищает от скрытых каналов второго и третьего вида – т.е. от каналов, возникающих на основе анализа временных и статистических параметров процессов в системах коллективного доступа к общим информационным ресурсам

3. Теоретико-информационные модели невыводимости и невлияния (невмешательства)

Определение 7. "Системой разрешенных процедур" называется разновидность интерфейса АС, когда при входе в систему после идентификации и аутентификации пользователям предоставляет только лишь возможность запуска и исполнения конечного набора логико-технологических процедур обработки информации без возможности применения элементарных методов доступа (read, write, append, update, create, delete и т.п.) к объектам системы

3. Теоретико-информационные модели невыводимости и невлияния (невмешательства)

Определение 8.Система, функционирование которой представляется совокупностью четырех событий с вероятностью{0,1} - high-in, high-out, low-in и low-out обладает свойством информационного невмешательства, если выполняется равенство:
p(low-outt|high-ins ,low-ins ) = p(low-outt|low-ins )
где s,t = 0,1,2, … и s < t

т.о. - модели невыводимости и невмешательства "сильнее" и ближе к реальности, чем классическая модель полномочного доступа Белла-ЛаПадулы, т.к. более гибко контролируют потоки информации между сущностями с разным уровнем безопасности
- дают методологию борьбы со скрытыми каналами утечки информации, лежащую в основе, в частности технологий "представлений" и "разрешенных процедур"

3. Теоретико-информационные модели невыводимости и невлияния (невмешательства)

Учебные вопросы:

1. Общая характеристика моделей и технологий обеспечения целостности данных
2. Мандатная модель Кен Биба и дискреционная модель Кларка-Вильсона
3. Технологии ЭЦП
4. Мониторы транзакций в СУБД «Клиент-сервер»

Литература:

неизменность

неискаженность

правильность

объектов, содержащих код ПО

отсутствие подделки при:
- передаче данных
- обработке данных

отсутствие ошибок в:
- структуре данных
- содержании данных

модели обеспечения целостности в рамках субъектно-объектной формализации КС (модель Биба, модель Кларка-Вильсона)

криптографические технологии электронной цифровой подписи

технологии параллельного выполнения транзакций в клиент-серверных СУБД

Система защиты - совокупность
- множества субъектов S
- множества объектов O
- множества операций над объектами доступа R (два элемента - read и write)
- решетки уровней безопасности Λ субъектов и объектов (решетка уровней целостности данных)
- функции F, отображающей элементы множеств S и O в Λ
- множества состояний системы V, которое определяется множеством упорядоченных пар (F,A)
- начального состояния v0
- набора запросов Q
- функции переходов T: (VxQ) → V, которая переводит систему из одного состояния в другое при выполнении запросов субъектов на доступ к объектам

Критерий безопасности (обеспечения целостности)
- недопустимы потоки «снизу вверх», т.к. могут
нарушить целостность объектов более высокого уровня
безопасности:

- чтение данных субъектом s ∈ S из объекта o ∈ O с более низким уровнем безопасности – F (o) < F (s)
(no read down - NRD) – нельзя читать вниз, т.к. в результате может произойти нарушение целостности («загрязнение») субъекта

Модель Биба - инверсия модели Белла-ЛаПадулы

2. Мандатная модель Биба (сер.70-х годов, Кен Биба), Дискреционная модель Кларка-Вильсона (1987г.)

но, т.к. в результате объект может быть загрязнен, то после заверше-ния операции записи, уровень целостности измененного объекта должен быть понижен до уровня целостности изменяющего субъекта
– F (s) < F (o)
– F*(o) ≡ F (s)

Модель с понижением уровня объекта

Субъекты могут писать в любые объекты

Главный недостаток - «деградация» системы

2. Мандатная модель Биба (сер.70-х годов, Кен Биба), Дискреционная модель Кларка-Вильсона (1987г.)

1. На основе двух различных решеток в одной КС

- решетка Λк уровней конфиденциальности и функция отображения на нее субъектов и объектов доступа Fк(x) = lк ∈ Λк , x ∈ S ∪ O

- решетка Λц уровней целостности и функция отображения на нее субъектов и объектов доступа Fц(x) = lц ∈ Λц , x ∈ S ∪ O

- принятие решения на доступ одновременно по правилам NRU и NWD по функции Fк(x) и правилам NRD и NWU по функции Fц(x)

но м.б. противоречия и тупики

2. На основе одной общей решетки

- операции read и write возможны только в пределах одного уровня безопасности F(s) = F(o) - полностью изолированная по уровням безопасности система (т.н. «равное чтение» и «равная запись»)

3. На основе одной общей решетки, но со спецификой отображения

субъекты и объекты с высокими требованиями целостности располагаются на нижнем уровнем иерархии решетки (сист.ПО и прогр-ст)
субъекты и объекты с высокими требованиями конфиденциальности располагаются на самом высоком уровне иерархии решетки (секр. данные и доверенные пользователи)

Главная идея «тройки целостности»:
«субъект-
-операция(транзакция), не нарушающая целостность-
-объект»

Исходные положения

1. Все множество объектов D разделяется на объекты CDI , требующие контроля целостности (constrained data items), и объекты UDI, не требующие контроля целостности (unconstrained data items)
D = CDI ∪ UDI , CDI ∩ UDI =∅

2. На множестве элементарных операций над объектами выделяются совокупности (последовательности), обособляющиеся в логически самостоятельные сущности, называемые процедурами преобразования TP (transformation procedures)

3. Дополнительно вводится особый класс процедур IVP над данными, которые обеспечивают проверку целостности контролируемых данных (integrity verification procedures)

4. Те процедуры преобразования данных TP, применение к результатам которых процедур проверки целостности IVP дает положительный результат, называются «корректно (правильно, хорошо) сформированными транзакциями»

С2. Все процедуры преобразования TP должны быть хорошо сформированными транзакциями, т.е. не нарушать целостности данных, и применяться только по отношению к списку элементов (объектов) CDI, устанавливаемых администратором системы

Е1. Система должна контролировать допустимость применения TP к элементам CDI в соответствии со списками, указанными в правиле С2

Е2. Система должна поддерживать список разрешенных конкретным пользователям процедур преобразования TP с указанием допустимого для каждой TP и данного пользователя набора обрабатываемых элементов CDI (т.е. тройки «субъект-TP-объект CDI»)

С3. Список, определенный правилом С2, должен отвечать требованию разграничения функциональных обязанностей (в т.ч. совм. вып-я)

Е3. Система должна аутентифицировать всех пользователей, пытающихся выполнить какую-либо процедуру преобразования TP

С4. Каждая TP должна записывать в журнал регистрации информацию, достаточную для восстановления полной картины каждого применения этой TP. Журнал регистрации – это специальный элемент CDI, предназначенный только для добавления в него информации

С5. Специальные TP могут корректно обрабатывать UDI, превращая их в CDI

Е4. Только специально уполномоченный субъект (пользователь) может изменять списки, определенные в правилах С2 и Е2. Этот субъект не имеет права выполнять какие-либо действия, если он уполномочен изменять регламентирующие эти действия списки

Система ЭЦП включает два этапа:
процедуру постановки подписи
процедуру проверки подписи

Против-
ник

Требования к хеш-функциям

Необратимость – вычисление исходных данных по их хеш-свертке
невозможно или представляет непреодолимую вычислительную преграду

это свойство называют «стойкостью в сильном смысле»

Стойкость к коллизиям – вероятность того, что для двух различ-
ных исходных данных их хеш-свертки совпадут д.б. = 0, или ничтожной

- подобрать по известным исходным данным и их хеш-свертке другие исходные данные с той-же хеш-сверткой невозможно или представляет непреодолимую вычислительную преграду

Чувствительность – изменение даже одного бита исходных данных,
д. приводить к существенному изменению хеш-свертки

Обобщенная схема ключевой хеш-функции

PN'

Отк-
ры-
тые
дан-
ные

P2

P1

…

mi= Pi⊕mi-1

Pi – n-битный блок, PN' – доп-ся до n-разр.

n = 160 – 256 бит

PN'

Отк-
ры-
тые
дан-
ные

P2

P1

…

mi=f(Pi⊕mi-1)

Pi – m-битный блок, PN' – доп-ся до m-разр.

Нет

Обобщенная схема безключевой хеш-функции

n-разрядов

P0 – фиксированный n-битный начальный вектор

f (x1, x2) – n-битная одношаговая сжи-мающая функция, обладающая свойст-вом однонаправленности, x1 – m-бит-ный, x2 – n-битный двоичные вектора

Стандарт ANSI X9.17

Ключи

Для шифрования
ключей

Для шифрования
данных

Сеансовые ключи

Генерация ключей

Детерминированные методы

Недетерминированные методы

Путем формирования псевдослучай-ных последовательностей большой длины на основе ПСП малой длины с заданными (теми же) стат.св-ми

Сдвиг. регистры с лин. обр. связями

На основе процессов физ. природы – движ. мыши, нажатие клавиш

На основе случайных физических процессов (генераторы шума и т.п.)

Сеансовые ключи – на основе паролей пользователей

Хранение ключей в зашифрованном виде на ПЭВМ

Использование внешних устройств для хранения ключей (диски, магн. карты…)

Распределение ключей

Через фельдсвязь

Через спец. территориально-распределенную систему

Через передачу (в зашифрованном виде) или спец. режим формирования по открытым каналам связи на основе асимметричных криптопротоколов

для систем с открытым ключом

Через инфраструктуру открытых ключей посредством использования идеологии сертификатов ключей

- набор данных, заверенный ЭЦП центра сертификации (удостоверяющего центра) и включающий открытый ключ и список атрибутов, относящихся к абоненту ключа (имя абонента, название центра сертификации, номер сертификата, время действия сертификата, предназначение ключа (шифрование, ЭЦП))

- проверив ЭЦП сертификата по известному открытому ключу сертифи-кационного центра, можно убедиться, что находящийся в нем открытый ключ действительно принадлежит обозначенному пользователю

Сертификационный (удостоверяющий) центр

доверенная третья сторона
регистрирует абонентов открытых ключей
изготавливает открытые и закрытые ключи и сертификаты открытых ключей
обеспечивает доступ к сертификатам открытых ключей
ведет справочник действующих и отозванных сертификатов

Иерархическая система сертификационных центров

сертификат открытого ключа самого сертификационного центра выдает сертификационный центр более высшей иерархии

Транзакции играют важную роль в механизме обеспечения СУБД ограничений целостности базы данных. Ограничения целостности непосредственно проверяются по завершению очередной транзакции. Если условия ограничений целостности данных не выполняются, то происходит "откат" транзакции (выполняется SQL–инструкция ROLLBACK), в противном случае транзакция фиксируется (выполняется SQL–инструкция COMMIT).

Потерянные изменения - когда две транзакции одновременно изменяют один и тот же объект базы данных. В том случае, если в силу каких-либо причин, например, из–за нарушений целостности данных, происходит откат, скажем, второй транзакции, то вместе с этим отменяются и все изменения, внесенные в соответствующий период времени первой транзакцией. В результате первая еще не завершившаяся транзакция при повторном чтении объекта не "видит" своих ранее сделанных изменений данных.
"Грязные" данные - когда одна транзакция изменяет какой-либо объект данных, а другая транзакция в этот момент читает данные из того же объекта. Так как первая транзакция еще не завершена, и, следовательно, не проверена согласованность данных после проведенных, или вовсе еще только частично проведенных изменений, то вторая транзакция может "видеть" соответственно несогласованные, т.е. "грязные" данные.
Неповторяющиеся чтения - когда одна транзакция читает какой-либо объект базы данных, а другая до завершения первой его изменяет и успешно фиксируется. Если при этом первой, еще не завершенной, транзакции требуется повторно прочитать данный объект, то она "видит" его в другом состоянии, т.е. чтение не повторяется.

Синхронизационные захваты (блокировки) объектов базы данных

Временные метки объектов базы данных

два основных режима захватов

совместный режим (Shared) - захват по чтению

монопольный режим (eXclusive) - захват по записи

Двухфазный протокол синхронизационных захватов (блокировок) объектов базы данных – 2PL (Two–Phase Locks)

1-я фаза - транзакция запрашивает и накапливает захваты необходимых объектов в соответствующем режиме

2-я фаза – выполнение операций над захваченными объектами, фиксация изменений (или откат по соображениям целостности данных), освобождение захватов

"гранулирование" объектов захвата

Возможность возникновения тупиковых ситуаций (Deadlock)

Автоматическое обнаружение (распознавание) тупиковых ситуаций на построении и анализе графа ожидания транзакций

Временные метки объектов базы данных

Каждой транзакции
приписывается временная метка, соответствующая моменту
начала выполнения транзакции

проверяется, не закончилась ли транзакция, первой "пометившая" объект;
если первая транзакция закончилась, то вторая транзакция помечает его своей меткой и выполняет необходимые операции;
если первая транзакция не закончилась, то проверяется конфликтность операций (конфликтно любое сочетание, кроме "чтение–чтение");
если операции неконфликтны, то они выполняются для обеих транзакций, а объект до завершения операций помечается меткой более поздней, т.е. более молодой транзакции;
если операции конфликтны, то далее происходит откат более поздней транзакции и выполняется операция более ранней (старшей) транзакции, а после ее завершения, объект помечается меткой более молодой транзакции и цикл действий повторяется.

более частые откаты транзакций, но отсутствие тупиков

При выполнении операции
над объектом транзакция "помечает"его своей меткой и
типом операции (чтение или изменение)

Если другой транзакции требуется
операция над уже "помеченным" объектом, то выполняются
действия по следующему алгоритму:

Литература:
1. Гайдамакин Н.А. Разграничение доступа к информации в компьютерных системах. – Екатеринбург: изд-во Урал. Ун- та, 2003. – 328 с.
2. Смирнов С.Н. Безопасность систем баз данных. – М.: Гелиос-АРВ, 2007. – 352с.
3. Гайдамакин Н.А. Автоматизированные информационные системы, базы и банки данных. Вводный курс: Учебное пособие. – М.: Гелиос-АРВ, 2002. – 308с.

Обеспечение конфи-денциально-сти информа-ции

Обеспечение
целостности информации

Обеспечение
доступности информации

Обеспечение правомерной доступности информации

-отсутствие препятствий в правомерном доступе к данным (обеспечивается политикой и механизмами разграничения доступа)
-обеспечение сохранности файлов данных БД (профилактика носителей, организационные меры)
-восстановление данных в случае программно-аппаратных сбоев, ошибочных действий пользователей либо умышленных действий злоумышленников, приводящих у уничтожению (потере, разрушению) файлов данных БД (резервирование/архивирование, журнализация данных, репликация БД)

Архивирование

-по сути другое название системы резервирования данных, поскольку из-за большого размера файлов БД, создание резервных копий осуществляется с одновременным «сжатием» файлов данных
-сохраненная и «сжатая» копия БД называется «архивом» БД

«Горячее» резервирование

-постоянное и непрерывное функционирование 2-х или более равнозначных («зеркальных») копий БД в КС, относящихся к т.н. «системам реального времени»
-все изменения данных одновременно и параллельно фиксируются в зеркальных копиях БД
-при сбое одной копии функционирование КС обеспечивается другой «зеркальной» копией

1. Резервирование, архивирование и журнализации данных

Изменения данных

Основной носитель БД

Файлы БД

Отдельный от основного носитель

Файл журнала
изменений данных

Архивная копия
файлов БД

Отдельный от основного носитель

1. Резервирование, архивирование и журнализации данных

1. Резервирование, архивирование и журнализации данных

-разновидность технологий создания и функционирования распределенных КС
-разновидность технологий обеспечения сохранности и правомерной доступности информации
-пользователи КС работают на своих вычислительных установках с одинаковыми (общими) данными, растиражированными по локальным БД
-снимается проблема быстродействия и ресурсоемкости сервера КС

Основные проблемы систем репликации

-обеспечение непрерывности согласованного состояния данных
-обеспечение непрерывности согласованного состояния структуры данных

Ядро
СУБД

Драйвер
репликации

Общая БД (Реплика 1)

Табл. 1

Табл. 1

Вычислительная установка 2

Прикладной
компонент 2

Ядро
СУБД

Драйвер
репликации

Табл. 1

Табл.2

SQL

SQL

Изменения данных

Изменения данных

Общая БД (Реплика 2)

Файл сетев.
конфигурации

Файл сетев.
конфигурации

Режим синхронной репликации изменений данных

-любая транзакция с любой рабочей станции сети осуществляется одновременно на всех репликах БД (фиксация транзакции производится только тогда, когда она успешно завершается одновременно на всех репликах системы)
-применяются аналогично клиент-серверным системам протоколы осуществления и фиксации транзакций

Проблемы и недостатки систем синхронной репликации

-снижение быстродействия обработки данных вследствие большого трафика данных в сети
-«тупики» при осуществлении транзакций (как в клиент-серверных системах)

-транзакция на рабочих станциях осуществляются независимо друг от друга, в результате допускается текущая несогласованность состояния данных
-через определенные интервалы (по специальному графику, по специальным командам, в определенном, например во внерабочее, время и т.д.) осуществляется синхронизация реплик БД
-на рабочих станциях КС м. создаваться специальные хранилища данных репликации «накапливающие» изменения данных, поступающие с других рабочих станций

Проблемы и недостатки систем асинхронной репликации

-не могут применяться в КС, с высокой динамикой изменения данных
-в результате синхронизации реплик м. наблюдаться «потерянные изменения» при взаимном затирании изменений одних и тех объектов на разных репликах

Системы с «главной» репликой

-одна из реплик объявляется «главной» и только на ней допускается изменение структуры данных (добавление/удаление таблиц, изменение схемы таблиц)
-по принципу асинхронной репликации осуществляется тиражирование соответствующих изменений структуры данных по всем репликам системы

Системы с частичными репликами

-в каждой локальной БД определяются перечень реплицируемых объектов, в результате локальные БД «одинаковы» только в определенной части
-синхронизация реплик может осуществляется в синхронном и асинхронном (отложенном) режиме
-могут создаваться распределенные КС с функционально обоснованной схемой ввода и тиражирования данных, например данные в таблицу «Документы» вводятся в реплике секретариата и тиражируются по всем репликам, находящихся в др. подразделениях, данные в таблицу «Сотрудники» - в реплике кадрового подразделения и т.д.

Лекция 2.8.

Учебные вопросы:

1. Общие положения о политике безопасности в распределенных КС

-нейтрализация угроз безопасности в процедурах идентификации/аутентификации с рабочих станций и при удаленном доступе пользователей АИС
-нейтрализация угроз безопасности в линиях связи и телекоммуникациях
-реализация политики привязки доступа пользователей с определенных рабочих станций, по определенному временному графику
-защита вывода информации из БД на внешние носители данных, в т.ч. на рабочих станциях АИС
-удаление остаточной информации на носителях при обработке данных на рабочих станциях
-отношения доверия между сегментами (зонами) сети АИС
-активный аудит действий пользователей

В основе
7-ми уровневая
модель взаим-я
откр. систем

Распределенные компьютерные системы

Две разновидности

Система взаимодействующих
лок. сегментов

Система- внешняя среда

Два направления

Создание защитных механизмов, устойчивых как по отношению к внутренним, так и внешним угрозам

Синтез защитных механизмов от внешних угроз

1. Общие положения о политике безопасности в распределенных КС

Создание защитных механизмов, устойчивых как по отношению к внутренним, так внешним угрозам
- политика и модель безопасности системы взаимодействующих локальных сегментов

1. Общие положения о политике безопасности в распределенных КС

Понятие локального сегмента

– на основе единого адресного пространства, в котором любой сущности (субъекту или объекту) присваивается уникальный глобальный идентификатор, и разделения адресного пространства на области, образующие (выделяющие) локальные сегменты КС

– по критерию порождения одним общим процессом (z.b. Монитор транзакций)

1. Общие положения о политике безопасности в распределенных КС

Удаленный доступ pout = Stream (sm , oi) → oj

1. Общие положения о политике безопасности в распределенных КС

Ядро

Ассоциированные
объекты

Дополнительная политика инициализации субъектов удаленных доступов

1. Общие положения о политике безопасности в распределенных КС

Складск.
зона

Зона инф.
ресурсов

Арх. зона

Публ.зона (работа с клиентами)

Для каждой зоны своя регламентация доступа/ вхождения сотрудников, др. лиц, перемещения документов

Распределенная ИС с внутризональной и межзональной политикой безопасности

Предприятие/объект

2. Зональная модель безопасности

Частичный порядок доверия на множестве зон (возможность удаленных доступов)

Одностороннее доверие:
z1> z2 ↔ P outL(z1 → z2) ≠ ∅ ∧ P outL(z1 ← z2) = ∅ 

Двустороннее доверие:
z1= z2 ↔ P outL(z1 → z2) ≠ ∅ ∧ P outL(z1 ← z2) = ∅ 

Отсутствие доверия:
z1 ≠  z2 ↔ P outL(z1 → z2) = ∅ ∧ P outL(z1 ← z2) = ∅ 

2. Зональная модель безопасности

Политика безопасности в распределенных КС

Взаимодействие
Безопасный канал связи

Политика взаимодействия

Двустороннего доверия
– пользователи одного сегмента могут получать доступ к объектам другого сегмента и наоборот
Одностороннего доверия
– пользователи одного сегмента могут получать доступ к объектам другого сегмента, но наоборот нет

-Внутризональная политика безопасности
-Межзональная политика безопасности (политика взаимодействия)

Политика безопасности в распределенных КС

Тема 3. Методы анализа и оценки защищенности компьютерных систем

221

Литература:
1. Гайдамакин Н.А. Разграничение доступа к информации в компьютерных системах. – Екатеринбург: изд-во Урал. Ун- та, 2003. – 328 с.
2. Смирнов С.Н. Безопасность систем баз данных. – М.: Гелиос-АРВ, 2007. – 352с.
3. Гайдамакин Н.А. Автоматизированные информационные системы, базы и банки данных. Вводный курс: Учебное пособие. – М.: Гелиос-АРВ, 2002. – 308с.

Эмпири-ческий объект

Свойства/качества/признаки

Наблюдае-мые (физические)

Ненаблю- даемые

Измерение

Оценка

Выбор шкалы (шкалирование)

Процесс (испытание, сравнение) по отношению с эталоном

Шкала измерения S, R(si,sj)

Исследование, вычисление (оценка)

Модель объекта

Шкала оценки S, R(si,sj)

Внешние воздействия, случайная природа физ.процессов измерения

Неполная (частичная) адекватность модели и шкалы

Погрешность измерения

Результат измерения (образ на шкале измерений)

Погрешность оценки

Результат оценки (образ на шкале оценки)

Физические (приборные) измерения

ai r aj

si r sj

Полный или частичный гоморфизм

-воспроизводят отношения порядка (строгого) и эквивалентности (если ai ≤ aj , то si ≤ sj );
-обеспечивают упорядочение объектов по измеряемым (анализируемым/оцениваемым) свойствам (z.b. шкала твердости минералов Ф.Мооса, шкалы силы ветра, шкалы силы землетрясения, шкалы сортности товаров, шкалы оценки знаний);
-результаты измерений/оценок не являются числами в полном смысле – не могут складываться, умножаться и т.д.);
-из одной порядковой шкалы другая эквивалентная м.б. получена в результате монотонно-возрастающего преобразования

-только для различения объектов (z.b. номера телефонов, автомобилей, коды городов, объектов и т.п.);
-не воспроизводят никаких отношений (порядка и т.д.) кроме отношений различия/эквивалентности (если ai ≠ aj , то si ≠ sj ; если ai ≡ aj , то si ≡ sj );
-могут применяться для классификации объектов (номера/идентификаторы классов – результаты классификационного шкалирования объектов)

-соответственно одна шкала из другой м.б. получена путем линейного преобразования (z.b. шкалы температур Цельсия, Фаренгейта)

Шкалы отношений

-воспроизводят только отношения степени сравнения эмп. объектов (во сколько раз);
результаты измерений при преобразованиях подобия f(x)=ax, a>0 сохраняют неизменными степени отношений объектов (примеры: шкалы измерения масс и длин предметов);

-эквивалентные шкалы измерения отношений, получаемые одна из другой преобразованиям подобия имеют общую (нулевую) точку отсчета (примеры: шкалы измерения масс и длин предметов)

Абсолютные шкалы

-характеризуют единственность отображения измеряемых объектов в определенную (естественную, абсолютную шкалу);
-воспроизводят любые отношения между измеряемыми объектами (различия/эквивалентности, порядка, степени, интервалов, разности). Пример: - шкалы измерения количества объектов

- разработка и применение нормативно-технических и нормативно-методических документов в целях достижения упорядоченности в сферах разработки, производства и обращения изделий, продукции, строений, сооружений, систем, процессов, процедур, работ или услуг

- нормативно-технический документ, содержащий требования и характеристики к объекту стандартизации

- повышение уровня безопасности жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества, экологической безопасности, безопасности жизни или здоровья животных и растений;
- повышение уровня безопасности объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера;
- обеспечение научно-технического прогресса;
- повышение конкурентоспособности продукции, работ, услуг;
- рациональное использование ресурсов;
- обеспечение технической и информационной совместимости;
- обеспечение сопоставимости результатов исследований (испытаний) и измерений, технических и экономико-статистических данных;
- обеспечение взаимозаменяемости продукции.

Стандартизация

Стандарт

Цели стандартизации

По типу объекта стандартизации

- система (информационная, техническая, организационно-технологическая, аппаратная, криптографическая и т.д.)
- ИТ-продукт
- ИТ-технологии (в т.ч. процессы, процедуры)

По типу шкалы оценки соответствия требованиям стандарта

- на основе номинальной шкалы (соответствует/несоответствует)
- на основе интервальной (количественной) шкалы (z.b. вероятность обнаружения атаки ≥ 0,99)
- на основе ранговой (качественной) шкалы (реализация требований на «отлично», «хорошо», «удовлетворительно»; защищенность высокая, средняя, низкая, незначительная)

Стандарты в сфере безопасности ИТ

В большинстве Стандартов защищенности
используются номинально-ранговые шкалы (оценки)

Общая схема стандартов и руководящих документов по функциональным требованиям к защищенным КС на основе номинально-ранговых оценок защищенности [безопасности]

Защищенность [безопасность]

Определяется шкала уровней (классов) защищенности

Для каждого уровня (класса) защищенности устанавливается набор требований к объекту оценки по соответствующей тематики

Единая шкала оценки безопасности для
производителей, потребителей и экспертов

История создания стандартов информационной
(компьютерной) безопасности

1.Критерии оценки надежных компьютерных систем (Оранжевая книга), NCSC МО США, 1983г. (по сетям - 1987, по СУБД - 91)
2.Европейские критерии безопасности информационных технологий 1986г. (Гармонизированные критерии, 1991г.) (Франция, Германия, Голландия, Англия)
3.Руководящие документы Гостехкомиссии при России по защите от НСД к информации, 1992г.
4.Федеральные критерии безопасности информационных технологий, ANSI и АНБ США (1992г.)
5. Канадские критерии безопасности компьютерных систем (1993г.)
6.Единые критерии безопасности информационных технологий, NCSC и АНБ США, 1996г.

Порядок использования и применения стандартов защищенности [стандартов ИБ]

1.Определение (получение) функциональных требований к объекту разработки
2.Определение (получение) требований по уровню (классу) защищенности
3.Составление на основе ГОСТ 34.201-89 и соотв. Стандарта защищенности ТЗ на разработку
4.Разработка (создание) объекта и реализация требований к объекту
5.Оценка соответствия разработанного объекта установленным требованиям и получение сертификата защищенности по соотв. классу (уровню)

1.Потребность в объекте в защищенном исполнении (или в СЗИ)
2.Определение (по нормативным предписаниям или по решению руководителя) требуемого уровня (класса) защищенности
3.Заказ на разработку или приобретение готового объекта (продукта) с сертификатом безопасности по соответствующему классу (уровню)
4.Приемка объекта в эксплуатацию (при соотв. нормативных предписаниях аттестация объекта в защищенном исполнении)

1.Получение заявки на сертификацию по определенному классу защищенности
2.Определение по стандарту защищенности набора требований к объекту оценки
3.Разработка на основе ГОСТ 28195-89 и ГОСТ Р 51188-98 Программы испытаний (исследований)
4.Испытания (исследования) и вынесение решения о соответствии объекта заявленному уровню (классу) защищенности

Создание

Эксплуатация

Вывод из
эксплуа-
тации

Проектирование

Реализация проектных
решений

Внедрение, ввод в
эксплуатацию

Исполь-
зование

Админи
стиро-
вание,
сопро
вожде-
ние

Сфера действия стандартов ИБ (защищенности) АИС

РД Гостехкомиссии по защите от НСД
ГОСТ Р ИСО/МЭК 15408-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.

Международный стандарт ISO/IEC 17799-2000. Информационные технологии. Свод правил по управлению защитой информации.
BSI (Германский)

Самый высокий уровень
защиты

Средний уровень
защиты

Низкий уровень
защиты

Незащищенные
системы

В полном объеме

В основе РД от НСД – методология TCSEC (Оранжевая книга)

Схема РД ГосТехКомиссии России. СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации

СВТ
- совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем

в т.ч. общесистемные
программные средства, СУБД и ОС
с учетом архитектуры ЭВМ

"Секретно", или собственность государства - не ниже 4-го класса

7-классов защищенности в 4 группы по принципу разграничения доступа

Система защиты от НСД к информации в СВТ
(подсистемы и функциональные требования)
ГОСТ Р 50739-95

Структура функциональных требований по защите от НСД к СВТ

Структура требований по классам защищенности СВТ

Схема групп и классов защищенности АС от НСД

«Гостайна", или собственность государства - не ниже 3А, 2А, 1А (для 1А с СВТ не ниже 2кл.), 1Б (с СВТ не ниже 3 кл.), 1В (с СВТ не ниже 4-го кл.)

Многопользовательские АС с информацией различного уровня конфиденциальности и различным уровнем полномочий пользователей

Многопользовательские АС с
информацией различного уровня
конфиденциальности и одинако-
вым уровнем полномочий
пользователей

Однопользовательские АС с
информацией одного уровня
конфиденциальности

Система защиты от НСД к информации в АС
(подсистемы и функциональные требования)
ГОСТ Р 51583-2000, РД ГосТехКомиссии. АС. Защита от НСД к информации.
Классификация АС и требования по защите информации

Общая характеристика классов защищенности АС
Третья группа

Общая характеристика классов защищенности АС
Вторая группа

Общая характеристика классов защищенности АС
Первая группа

Общая характеристика классов защищенности АС
Первая группа

1.1990г. начало разработки Раб.гр. 3 Подкомитета 27 Первого технического комитета (JTCI|SC27|WG3) Международной организации по стандартизации (ISO) «Критериев оценки безопасности информационных технологий» (Eva-luation Criteria for IT Security, ECITS) в качестве международного стандарта
2.1993г. начало совместной разработки правительственными организациями Канады, США, Великобритании, Германии, Нидерландов и Франции межгосударственного стандарта «Общие критерии оценки безопасности информационных технологий» (Common Criteria for IT Security Evaluation), т.н. «Общие критерии», иди ОК (Common Criteria)
3.1998г. опубликование и широкое открытое обсуждение версии 2.0 ОК и ее принятие в августе 1999г.
4.Принятие и введение в действие с 1 декабря 1999г. Международного стандарта ISO/IEC 15408 Information technology – Security techniques – Evaluation Criteria for IT Security в 3-х частях:
- Part 1: Introduction and general model. – ISO/IEC 15408-1.1999
- Part 2: Security functional requirements. – ISO/IEC 15408-2.1999
- Part 3: Security assurance requirements. – ISO/IEC 15408-3/1999
5.Принятие в 2002г. ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий» на основе идентичного перевода ISO/IEC 15408-1999 с датой введения с 1 января 2004г.
6.2002г. Принятие Руководящего документа ГосТехКомиссии России «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» на основе идентичного текста ГОСТ Р ИСО/МЭК 15408-2002

1. Регламентирует процессы создания и оценки (сертификации) изделий ИТ по требованиям безопасности
2.Объектом оценки (ОО) является продукт ИТ (совокупность средств ИТ, предоставляющих определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы) или система ИТ (специфическое воплощение информационных технологий с конкретным назначением и условиями эксплуатации)
3. Рассматривает ОО в контексте всех аспектов среды безопасности, которая в идеологии ОК включает:
-законодательную среду (затрагивающую ОО)
-административную среду (положения политик и программ безопасности, затрагивающие ОО)
-процедурно-технологическую среду (физ.среда, в т.ч. меры физической защиты, персонал и его свойства, эксплуатационные и иные процедуры, связанные с ОО)
-программно-техническую среду (в которой функционирует ОО и его защищаемые активы)
4. Устанавливает следующую структуру описания аспектов среды безопасности при задании требований безопасности к объекту ОО и его оценки:
- предположения безопасности (выделяют ОО из общего контекста, задают границы рассмотрения)
- угрозы безопасности (те, ущерб от которых нуждается в уменьшении, по схеме: источник, метод воздействия, используемые уязвимости, ресурсы-активы на которые направлены)
- положения политики безопасности (в совокупности с предположениями безопасности устанавливают точно для системы ИТ или в общих чертах для продукта ИТ все другие аспекты среды безопасности)

Виды требований безопасности к продуктам и системам ИТ

Порядок установления требований безопасности к продуктам и системам ИТ

Каталог (библиотека) требований ко всем возможным видам продуктов или систем ИТ (ч.2 ОК)

Профили защиты для конкретных видов изделий ИТ- ОС, СУБД, МЭ и т.д (подлежат сертификации)

Задание по безопасности при создании изделия ИТ (является ОО наряду с самим ОО при сертификации ОО)

Общая характеристика «Общих критериев»

Общая характеристика «Общих критериев»

11 классов, в каждом классе от 2-х до 16-ти семейств

8. Выделяют: -классы, соответствующие элементарным сервисам безопасности (FAU-аудит безопасности, FIA-идентификация/аутентификация, FRU-использование ресурсов)
-производные классы, реализуемые на основе элементарных (FCO-связь, FPR-приватность)
-классы, направленные на достижение высокоуровневых целей безопасности (FDP-защита данных пользователя, FPT-защита функций безопасности ОО)
-классы, играющие инфраструктурную роль (FCS-криптографическая поддержка, FMT-управление безопасностью, FTA-доступ к ОО, FTP-доверенный маршрут-канал)
9. Функциональные компоненты м.б. самодостаточными или нуждаться в привлечении других компонент, что отражается в связях между компонентами. Включение в ПЗ компонента требует включения и компонент по установленным зависимостям

Класс FAU. Аудит безопасности (6 семейств)

Класс FCO. Связь (2 семейства)

Класс FCS. Криптографическая поддержка (2 семейства)

Класс FDP. Защита данных пользователя (13 семейств)

Класс FIA. Идентификация и аутентификация (6 семейств)

Класс FMT. Управление безопасностью (6 семейств)

Класс FPR. Приватность (4 семейства)

Класс FPT. Защита функций безопасности объекта (16 семейств)

Класс FRU. Использование ресурсов (3 семейства)

Класс FTA. Доступ к ОО (6 семейств)

Класс FTP. Доверенный маршрут / канал (2 семейства)

Автоматическая реакция аудита безопасности (FAU_ARP)
Генерация данных аудита безопасности (FAU_GEN)
Анализ аудита безопасности (FAU_SAA)
Просмотр аудита безопасности (FAU_SAR)
Выбор событий аудита безопасности (FAU_SEL)
Хранение данных аудита безопасности (FAU_STG)

Неотказуемость отправления (FCO_NRO)
Неотказуемость получения (FCO_NRR)

Управление криптографическими ключами (FCS_CKM)
Криптографические операции (FCS_COP)

Политика управления доступом (FDP_ACC)
Функции управления доступом (FDP_ACF)
Аутентификация данных (FDP_DAU)
Экспорт данных за пределы действия ФБО (FDP_ETC)
Политика управления информационными потоками (FDP_IFC)
Функции управления информационными потоками (FDP_IFF)
Импорт данных из-за пределов действия ФБО (FDP_ITC)
Передача в пределах ОО (FDP_ITT)
Защита остаточной информации (FDP_RIP)
Откат (FDP_ROL)
Целостность хранимых данных (FDP_SDI)
Защита конфиденциальности данных пользователя при передаче между ФБО (FDP_UCT)
Защита целостности данных пользователя при передаче между ФБО (FDP_UIT)

Отказы аутентификации (FIA_AFL)
Определение атрибутов пользователя (FIA_ATD)
Спецификация секретов (FIA_SOS)
Аутентификация пользователя (FIA_UAU)
Идентификация пользователя (FIA_UID)
Связывание пользователь-субъект (FIA_USB)

Управление отдельными функциями ФБО (FMT_MOF)
Управление атрибутами безопасности (FMT_MSA)
Управление данными ФБО (FMT_MTD)
Отмена (FMT_REV)
Срок действия атрибута безопасности (FMT_SAE)
Роли управления безопасностью (FMT_SMR)

Анонимность (FPR_ANO)
Псевдонимность (FPR_PSE)
Невозможность ассоциации (FPR_UNL)
Скрытность (FPR_UNO)

Тестирование базовой абстрактной машины (FPT_AMT)
Безопасность при сбое (FPT_FLS)
Доступность экспортируемых данных ФБО (FPT_ITA)
Конфиденциальность экспортируемых данных ФБО (FPT_ITC)
Целостность экспортируемых данных ФБО (FPT_ITI)
Передача данных ФБО в пределах ОО (FPT_ITT)
Физическая защита ФБО (FPT_PHP)
Надежное восстановление (FPT_RCV)
Обнаружение повторного использования (FPT_RPL)
Посредничество при обращениях (FPT_RVM)
Разделение домена (FPT_SEP)
Протокол синхронизации состояний (FPT_SSP)
Метки времени (FPT_STM)
Согласованность данных ФБО между ФБО (FPT_TDC)
Согласованность данных ФБО при дублировании в пределах ОО (FPT_TRC)
Самотестирование ФБО (FPT_TST)

Отказоустойчивость (FRU_FLT)
Приоритет обслуживания (FRU_PRS)
Распределение ресурсов (FRU_RSA)

Ограничение области выбираемых атрибутов (FTA_LSA)
Ограничение на параллельные сеансы (FTA_MCS)
Блокирование сеанса (FTA_SSL)
Предупреждения перед предоставлением доступа к ОО (FTA_TAB)
История доступа к ОО (FTA_TAH)
Открытие сеанса с ОО (FTA_TSE)

Доверенный канал передачи между ФБО (FTP_ITC)
Доверенный маршрут (FTP_TRP)

Изделия ИТ

Операционные системы

СУБД

МЭ

…

Одноуровневые ОС

Многоуровневые ОС

ОС реального времени

Исходя из специфики целей применения, особен-ностей конфигурации, технологии обработки информации и др.

- для каждого типа изделий ИТ формируется семейство профилей защиты

- для каждого типа (семейства профилей защиты) из всего полного каталога ФТБ (ч.2 ОК) формируется базовый функцио-нальный пакет требований безопасности (БФПТБ семейства)

- для каждой группы из БФПТБ семейства с дополнением ФТБ из общего каталога ФТБ (ч.2 ОК) формируется функциональный пакет требований безопасности группы (ФПТБ группы) - БФПТБ семейства ⊆ ФПТБ группы

Ценность защищаемых активов (информации)

Класс защищенности 1

Класс защищенности 2

Класс защищенности 3

Класс защищенности 4

Базовый пакет доверия класса 1

Базовый пакет доверия класса 2

Базовый пакет доверия класса 3

Базовый пакет доверия класса 4

Общая схема формирования требований безопасности
к изделиям и системам ИТ

1. Введение
 1.1. Идентификация ПЗ
 1.2. Аннотация ПЗ
2. Описание изделия ИТ
3. Среда безопасности изделия ИТ
 3.1. Предположения безопасности
 3.2. Угрозы
 3.3. Политика безопасности организации
4. Цели безопасности
 4.1. Цели безопасности для изделия ИТ
 4.2. Цели безопасности для среды изделия ИТ
5. Требования безопасности изделия ИТ
 5.1. Функциональные требования безопасности изделия ИТ
 5.2. Требования доверия к безопасности изделия ИТ
 5.3. Требования безопасности для среды изделия ИТ
6. Замечания по применению (необязательный)
7. Обоснование
 7.1. Обоснование целей безопасности
 7.2. Обоснование требований безопасности

1. Введение
1.1.Идентификация ПЗ
а) ключевые слова;
 б) оценочный уровень доверия (ОУД), если он применяется в ПЗ;
 в) утверждение о соответствии версии ОК;
 г) состояние оценки ПЗ.
1.2.Анотация ПЗ
  резюме по высокоуровневому обзору проблемы безопасности, которая подлежит решению в ПЗ, и краткий обзор ее решения в ПЗ
Профили защиты, с которыми связан рассматриваемый профиль, и другие документы, на которые ссылается (необязательный подраздел)
Структура и организация профиля защиты (необязательный подраздел)
2. Описание изделия ИТ
а) тип продукта ИТ;
 б) основные функциональные возможности ОО;
 в) границы ОО (необязательная информация);
 г) среда функционирования ОО (необязательная информация).

3. Среда безопасности изделия ИТ
3.1. Предположения безопасности
а) предположения относительно предопределенного использования изделия ИТ;
 б) предположения, связанные с защитой любой части изделия ИТ со стороны среды (например, физическая защита);
 в) предположения связности (например, межсетевой экран должен быть единственным сетевым соединением между частной (защищаемой) и внешней (потенциально враждебной) сетью);
 г) предположения, имеющие отношение к персоналу (например, предполагаемые пользовательские роли, основные обязанности (ответственность) пользователей и степень доверия этим пользователям).
3.2. Угрозы
идентификация угроз (идентификация защищаемых активов, источников угроз, методов нападения)
спецификация угроз по соответствующим идентифицированным аспектам
3.3. Политика безопасности организации
совокупность правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности
  а) идентификация применяемых правил управления информационными потоками;
 б) идентификация применяемых правил управления доступом;
 в) определение правил ПБОр для аудита безопасности;
 г) решения, предписанные организацией, например, использование определенных криптографических алгоритмов или следование определенным стандартам.

Каждое
предположение, угроза, правило ПБОр
д. иметь уникальную метку

4. Цели безопасности
4.1. Цели безопасности для изделия ИТ
(ответственность за противостояние угрозам и следование ПБОр, промежуточный этап формирования требований безопасности ИТ)
Три типа целей безопасности для ОО:
 а) цели предупредительного характера, направленные либо на предотвращение реализации угроз, либо на перекрытие возможных путей реализации данных угроз;
 б) цели обнаружения, определяющие способы обнаружения и постоянного мониторинга событий, оказывающих влияние на безопасное функционирование ОО;
 в) цели реагирования, определяющие необходимость каких-либо действий ОО в ответ на потенциальные нарушения безопасности или другие нежелательные события, с целью сохранения или возврата ОО в безопасное состояние и/или ограничения размера причиненного ущерба.
Требования:
 а) учет каждой идентифицированной угрозы, направленной против изделия ИТ, по крайней мере, одной целью безопасности для изделия ИТ;
 б) учет каждого правила идентифицированной ПБОр, которому должно удовлетворять изделие ИТ, по крайней мере, одной целью безопасности для изделия ИТ
4.2. Цели безопасности для среды изделия ИТ
(ответст-ть за достиж-е которых возлаг-ся на ИТ-среду, а также связанные с реализацией в пределах среды функцион-я изделия ИТ организационных и других нетехнических мер)
  а) противостояние угрозам (или отд-м аспектам угроз), которым изд-е ИТ не против-т;
 б) поддержку реализации правил ПБОр, которые не удовлетворены или не полностью удовлетворены изделием ИТ;
 в) поддержку идентифицированных целей безопасности для изделия ИТ в плане противостояния угрозам и реализации соответствующих правил ПБОр;
 г) поддержку идентифицированных предположений о среде.

5. Требования безопасности изделия ИТ
5.1. Функциональные требования безопасности изделия ИТ
Определяют требования для функций безопасности, обеспечивающих достижение целей безопасности для изделия ИТ
Выбирают из ч.2 ОК, при наличии из ФПТБ группы
Различают (необязательно) следующие два типа ФТБ:
 а) основные ФТБ, непосредственно удовлетворяющие конкретные цели безопасности для изделия ИТ;
 б) поддерживающие ФТБ, не предназначенные для непосредственного удовлетворения целей безопасности для изделия ИТ, но способствующие выполнению основных ФТБ и, тем самым, косвенным образом способствующие удовлетворению целей безопасности для изделия ИТ.
5.2. Требования доверия к безопасности изделия ИТ
  Определяют требуемый уровень уверенности в надлежащей реализации ФТБ. Выбираются из ч.3 ОК, БПДК в зависимости от:
 а) ценности активов, подлежащих защите, и осознаваемого риска их компрометации;  б) технической реализуемости;  в) стоимости разработки и оценки;  г) требуемого времени для разработки и оценки изделия ИТ; д) требований рынка (для продуктов ИТ);  е) зависимостей функциональных компонентов и компонентов доверия к безопасности.
5.3. Требования безопасности для среды изделия ИТ
определяют функциональные требования и требования доверия к безопасности, выполнение которых возлагается на ИТ-среду (то есть, на внешние по отношению к изделию ИТ аппаратные, программные или программно-аппаратные средства) с тем, чтобы обеспечить достижение целей безопасности для изделия ИТ

7. Обоснование
7.1. Обоснование целей безопасности
Демонстрация соответствия целей безопасности идентифицированным угрозам может быть выполнена следующим образом:
       а) в виде таблицы, показывающей, какие цели безопасности каким угрозам соответствуют (например, угрозе Т3 соответствует цель О3); при этом необходимо обеспечить соответствие каждой цели безопасности, по крайней мере, одной угрозе;
       б) логическим обоснованием того, что цели безопасности противостоят угрозам
7.2. Обоснование требований безопасности
   Демонстрацию соответствия ФТБ целям безопасности для ОО можно представить следующим образом:
       а) в виде таблицы, показывающей, какие ФТБ какие цели безопасности удовлетворяют (например, компоненты FRU_RSA.1 и FTP_MCS.1 соответствуют цели безопасности O3), при этом необходимо обеспечить соответствие каждого ФТБ, по крайней мере, одной цели безопасности;
       б) логическим обоснованием соответствия ФТБ целям безопасности.

КС представляется трехдольным графом G(P,O,Z,E,H):

Модель системы с полным перекрытием – на каждую угрозу есть нейтрализующее СЗИ

1. Модели комплексной оценки защищенности КС

От каждой угрозы м.б. несколько воздействий на
различные объекты и каждый объект м.б. подвергнут
нескольким угрозам (связь "многие-ко-многим")

Граф G(P,O,Z,E,H) взвешенный.
Веса вершин и ребер м. определять:
- величину ущерба от реализации угроз
- или вероятность осуществления угроз

Выбор защитных механизмов осуществляется так, чтобы:
- редуцируя граф, устранить наиболее опасные угрозы
- или изменить веса ei с тем, чтобы минимизировать поток
угроз на основе тех или иных критериев

1. Модели комплексной оценки защищенности КС

Ущерб безопасности без использования СЗИ

Ущерб безопасности при использования СЗИ

1. Модели комплексной оценки защищенности КС