Модели безопасности компьютерных систем. Управление доступом и информационными потоками
Учебное пособие для вузов
Покупка
Издательство:
Горячая линия-Телеком
Автор:
Девянин Петр Николаевич
Год издания: 2013
Кол-во страниц: 338
Дополнительно
Вид издания:
Учебное пособие
Уровень образования:
Профессиональное образование
ISBN: 978-5-9912-0328-9
Артикул: 168490.03.01
Рассмотрены с полными доказательствами положения основных моделей безо-
пасности компьютерных систем: дискреционного, мандатного, ролевого управления
доступом, безопасности информационных потоков и изолированной программной
среды. Описан используемый в рассматриваемых моделях математический аппарат.
Классические модели дополнены ориентированными на применение в современных
компьютерных системах моделями безопасности логического управления доступом
и информационными потоками (ДП-моделями). Приведены примеры решения задач
на практических занятиях. Изложены методические рекомендации по организации
изучения моделей безопасности компьютерных систем.
Во втором издании пособия (кроме исправления неточностей и опечаток) вклю-
чены нескольких дополнительных примеров решения задач для практических заня-
тий и в главе 6 базовая ролевая ДП-модель заменена на мандатную сущностно-
ролевую ДП-модель управления доступом и информационными потоками в ОС се-
мейства Linux, на основе которой строится механизм управления доступом в отече-
ственной защищенной операционной системе Astra Linux Special Edition.
Для студентов вузов, обучающихся по специальностям направления подготовки
090300 – «Информационная безопасность вычислительных, автоматизированных и
телекоммуникационных систем» и направления подготовки 090900 – «Информацион-
ная безопасность», преподавателей и специалистов в области защиты информации.
Тематика:
ББК:
УДК:
ОКСО:
- 10.00.00: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
- ВО - Бакалавриат
- 10.03.01: Информационная безопасность
- ВО - Магистратура
- 10.04.01: Информационная безопасность
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов
Москва Горячая линия – Телеком 2013
УДК 004.056 ББК 32.973.2-018.2я73 Д25 Р е ц е н з е н т ы : зав. кафедрой защиты информации и криптографии Томского государственного университета, доктор техн. наук, профессор Г. П. Агибалов; зам. зав. кафедрой «Стратегические информационные исследования» МИФИ, канд. техн. наук, доцент В. А. Петров; зам. зав. кафедрой «Информационная безопасность банковских систем» МИФИ, канд. техн. наук, доцент А. И. Толстой; руководитель направления по работе с образовательными учреждениями ЗАО «Лаборатория Касперского» С. И. Ефимова. Девянин П. Н. Д25 Модели безопасности компьютерных систем. Управление доступом и информационными потоками. Учебное пособие для вузов. − 2-е изд., испр. и доп. – М.: Горячая линия–Телеком, 2013. – 338 с.: ил. ISBN 978-5-9912-0328-9. Рассмотрены с полными доказательствами положения основных моделей безопасности компьютерных систем: дискреционного, мандатного, ролевого управления доступом, безопасности информационных потоков и изолированной программной среды. Описан используемый в рассматриваемых моделях математический аппарат. Классические модели дополнены ориентированными на применение в современных компьютерных системах моделями безопасности логического управления доступом и информационными потоками (ДП-моделями). Приведены примеры решения задач на практических занятиях. Изложены методические рекомендации по организации изучения моделей безопасности компьютерных систем. Во втором издании пособия (кроме исправления неточностей и опечаток) включены нескольких дополнительных примеров решения задач для практических занятий и в главе 6 базовая ролевая ДП-модель заменена на мандатную сущностноролевую ДП-модель управления доступом и информационными потоками в ОС семейства Linux, на основе которой строится механизм управления доступом в отечественной защищенной операционной системе Astra Linux Special Edition. Для студентов вузов, обучающихся по специальностям направления подготовки 090300 – «Информационная безопасность вычислительных, автоматизированных и телекоммуникационных систем» и направления подготовки 090900 – «Информационная безопасность», преподавателей и специалистов в области защиты информации. ББК 32.973.2-018.2я73 Адрес издательства в Интернет WWW.TECHBOOK.RU Учебное издание Девянин Пётр Николаевич Модели безопасности компьютерных систем. Управление доступом и информационными потоками Учебное пособие 2-е изд., исправленное и дополненное Редактор Ю. Н. Чернышов Компьютерная верстка Ю. Н. Чернышова Обложка художника В. Г. Ситникова Подписано в печать 23.03.2013. Печать офсетная. Формат 60×88/16. Уч. изд. л. 21,25. Тираж 500 экз. (1-й з-д 100 экз.) ISBN 978-5-9912-0328-9 © П. Н. Девянин, 2011, 2013 © Издательство Горячая линия–Телеком, 2013
Предисловие Исследование формальных моделей, особенно моделей безопасности управления доступом и информационными потоками в компьютерных системах (КС), создает предпосылки для развития теории компьютерной безопасности и разработки новых эффективных методов анализа защищенности современных или перспективных КС, например операционных систем, СУБД, электронных почтовых систем. В существующей литературе по компьютерной безопасности, в том числе учебной, часто приводятся описания моделей безопасности. Однако их изложение, как правило, носит фрагментарный характер. При этом основное внимание уделяется лишь общей формулировке основных определений и результатов моделей либо краткому их перечислению обзорного характера (без подробного рассмотрения, применяемого математического аппарата и приведения доказательств). В то же время в книгах, где доказательства приводятся, они, как правило, даются в общих чертах. В пособии рассмотрены с полными доказательствами положения классических моделей безопасности КС: дискреционного, мандатного, ролевого управления доступом, безопасности информационных потоков и изолированной программной среды. Приведен используемый в рассматриваемых моделях математический аппарат. Классические модели по сравнению с [6] дополнены семейством моделей безопасности логического управления доступом и информационными потоками (ДП-моделей), адаптированных к условиям функционирования современных КС. Кроме того, приведены контрольные вопросы и задачи, среди которых выделены задачи повышенной сложности (отмечены символом «∗»), даны примеры решения задач на практических занятиях, а также изложены методические рекомендации по организации изучения моделей. Детальное изучение моделей безопасности КС целесообразно по следующим основным причинам. Во-первых, модели могут быть непосредственно использованы для анализа безопасности существующих или перспективных КС, особенно в случаях, когда требуется получение гарантий защищенности КС. Например, в соответствии с [1] при анализе безопасности
Предисловие КС, которые должны обладать высоким уровнем доверия, начиная с оценочного уровня доверия 5 (ОУД 5), требуется, чтобы при разработке КС была использована формальная модель политики безопасности. При этом, как минимум, требуется моделировать политики управления доступом и информационными потоками (если они являются частью политики безопасности КС), так как в настоящее время это признается возможным. Во-вторых, существующие модели безопасности КС могут быть использованы как основа (как «строительный материал») для разработки более совершенных моделей, позволяющих более точно описывать и исследовать особенности функционирования механизмов защиты современных КС. В-третьих, часто классические модели безопасности КС позволяют формально анализировать свойства механизмов защиты КС, которые уже были хорошо известны из опыта практической разработки или эксплуатации КС. В то же время по мере развития теории компьютерной безопасности могут создаваться новые модели (например, ДП-модели), с применением которых возможно сначала теоретическое описание и исследование свойств механизмов защиты, а затем подтверждение наличия этих свойств у реальных КС. В-четвертых, владение знаниями о моделях безопасности КС предоставляет специалисту в области компьютерной безопасности возможности для строгого научного и теоретически обоснованного изложения результатов прикладных исследований, что в свою очередь создает дополнительные предпосылки для его научного роста. Содержание пособия основано на реализации компетентностного подхода, положенного в основу федеральных государственных образовательных стандартов высшего профессионального образования (ФГОС ВПО) третьего поколения в области информационной безопасности. Пособие предназначено для преподавания следующих дисциплин: «Теоретические основы компьютерной безопасности» для магистров направления подготовки 090900 — «Информационная безопасность»; «Модели безопасности компьютерных систем» специальности 090301 — «Компьютерная безопасность»; «Безопасность информационных и аналитических систем» специальности 090305 — «Информационно-аналитические системы безопасности»;
Предисловие 5 «Основы информационной безопасности» для бакалавров направления подготовки 090900 — «Информационная безопасность» и других специальностей направления подготовки 090300 — «Информационная безопасность вычислительных, автоматизированных и телекоммуникационных систем». Пособие разработано на основе пятнадцатилетнего опыта преподавания моделей безопасности КС в ИКСИ Академии ФСБ России.
Предисловие ко второму изданию Компьютерная безопасность — одна из наиболее динамично развивающихся современных наук, скорость обновления ее знаний чрезвычайно высока. Теоретические результаты, еще несколько лет назад признававшиеся адекватными уровню развития применяемых для защиты КС технологий, сегодня могут оказаться безнадежно устаревшими. Яркий пример этого — рассматриваемая в учебном пособии классическая модель Белла–ЛаПадулы, долгое время являвшаяся основой построения защищенных КС с мандатным управлением доступом. Хотя неоднократно было показано (например, в [41, 42]), что эта модель не предоставляет механизмов защиты от запрещенных информационных потоков (скрытых каналов) по времени [46] от сущностей с высоким уровнем конфиденциальности к сущностям с низким уровнем конфиденциальности. Другой актуальной проблемой компьютерной безопасности является обоснование адекватности формальных моделей безопасности логического управления доступом и их реализации в КС [44]. То есть востребованы формальные модели, адаптированные для внедрения в реальные защищенные КС, для которых с применением, например, теории доказательства правильности программ [47] можно осуществить вывод из положений модели непосредственно реализации в программном коде функций механизмов защиты КС и строгое обоснование их корректности. При этом такие модели должны позволять формулировать и теоретически обосновывать алгоритмически проверяемые условия безопасности разрабатываемых защищенных КС. В связи с изложенным, во втором издании учебного пособия (кроме исправления неточностей и опечаток первого издания [40], включения нескольких дополнительных примеров решения задач для практических занятий) в главе 6 базовая ролевая ДП-модель заменена на мандатную сущностно-ролевую ДП-модель управления доступом и информационными потоками в ОС семейства Linux [43] (сокращенно, МРОСЛ ДП-модель), на основе которой строится механизм управления доступом в отечественной защищенной операционной системе Astra Linux Special Edition [48]. МРОСЛ ДП-модель демонстрирует
Предисловие ко второму изданию 7 возможности современных подходов к моделированию и теоретическому анализу безопасности защищенных КС и включает реализацию востребованных в таких КС мандатных управления доступом и контроля целостности совместно с перспективным ролевым управлением доступом. Автор благодарит Д.Н. Колегова и В.Ю. Смольянинова за ценные предложения по улучшению качества учебного пособия.
Основные понятия и определения, используемые при описании моделей безопасности компьютерных систем 1.1. Элементы теории компьютерной безопасности 1.1.1. Сущность, субъект, доступ, информационный поток В теории компьютерной безопасности, как правило, используются понятия «сущность» (entity), «объект» (object), «субъект» (subject) и «доступ» (access). Для описания свойств КС, в которых рассматриваются сущности, обладающие внутренней структурой, в ряде случаев, кроме понятия «объект», рассматривается понятие «контейнер» (container). Любая сущность КС в произвольный момент времени может быть однозначно представлена словом некоторого языка (набором данных), которое может рассматриваться как состояние сущности [4]. На основе [1] дадим определения. Определение 1.1. Объект или контейнер — сущность КС, которая содержит или получает информацию (данные) и над которой субъекты выполняют операции. Субъект — сущность КС, которая инициирует выполнение операций над сущностями. При этом по определению предполагается: • контейнеры могут состоять из объектов и других контейнеров; • субъекты КС могут получать доступ к объектам целиком, но не могут получать доступ к частям объекта; • субъекты КС могут получать доступ к контейнеру и к сущностям, из которых состоит контейнер. Для выполнения операций над сущностями КС субъекты осуществляют к ним доступы. В большинстве случаев рассматриваются следующие основные виды доступов: read — доступ на чтение из сущности; write — доступ на запись в сущность; append — доступ на запись в конец слова, описывающего состояние сущности;
Основные понятия и определения 9 execute — доступ на активизацию субъекта из сущности. Другие виды доступов субъектов к сущностям КС часто могут быть реализованы с использованием рассмотренных видов доступов. В современной теории компьютерной безопасности наибольшее развитие в области формального моделирования безопасности КС получил подход, заключающийся в представлении исследуемой КС в виде абстрактной системы (автомата), каждое состояние которой описывается доступами, реализуемыми субъектами к сущностям, а переходы КС из состояния в состояние описываются командами или правилами преобразования состояний, выполнение которых, как правило, инициируются субъектами. В основе данного подхода используется аксиома 1.1 [39], позволяющая выделить элементы КС, необходимые для анализа ее безопасности. Аксиома 1.1 (основная аксиома компьютерной безопасности). В рамках субъект-сущностного подхода все вопросы безопасности информации в КС описываются доступами субъектов к сущностям. Другие подходы, ориентированные, например, на формальное описание политик безопасности [26], сетевых протоколов [15, 21], правил фильтрации пакетов сетевого информационного обмена, со временем, получив соответствующее теоретическое обоснование, также могут быть применены для моделирования безопасности КС. Важную роль при исследовании безопасности КС играет анализ информационных потоков (information flow), возникающих в результате реализации субъектами КС доступов к сущностям. В соответствии с [22, 28] дадим определение. Определение 1.2. Информационным потоком от сущностиисточника к сущности-приемнику называется преобразование данных в сущности-приемнике, реализуемое субъектами КС, зависящее от данных, содержащихся в сущности-источнике. В рассматриваемых в пособии формальных моделях анализ безопасности информационных потоков основан на применении аксиом 1.1–1.3. Аксиома 1.2. Все действия в КС, в том числе выполнение операций над сущностями, порождение информационных потоков, изменение параметров и настроек системы защиты КС, порождение новых субъектов, могут быть инициированы только субъектами КС с использованием доступов к сущностям КС. Аксиома 1.3. Все информационные потоки в КС порождены доступами субъектов к сущностям.
Г л а в а 1 1.1.2. Классическая классификация угроз безопасности информации Определение 1.3. Угроза безопасности информации или КС — потенциально возможное воздействие на информацию или КС, которое прямо или косвенно может нанести урон пользователям или владельцам информации или КС. При классификации угроз выделяют три основных свойства безопасности информации в КС [5]. Определение 1.4. Конфиденциальность информации — субъективно определяемая характеристика информации, указывающая на необходимость введения ограничений на множество субъектов, имеющих доступ к данной информации. Определение 1.5. Целостность информации — свойство информации, заключающееся в ее существовании в неискаженном виде. Определение 1.6. Доступность информации — свойство КС (среды, средств и технологии обработки), в которой циркулирует информация, характеризующееся способностью КС обеспечивать своевременный доступ субъектов к запрашиваемой ими информации. В соответствии с тремя основными свойствами безопасности информации различают три классических угрозы безопасности информации в КС. Определение 1.7. Угроза конфиденциальности информации — состоит в нарушении установленных ограничений на доступ к информации. Определение 1.8. Угроза целостности информации — несанкционированное изменение информации, случайное или преднамеренное. Определение 1.9. Угроза доступности информации — осуществляется, когда несанкционированно блокируется доступ к информации (блокирование может быть постоянным или на некоторое время, достаточное, чтобы информация стала бесполезной). Кроме перечисленных угроз выделяют еще одну угрозу безопасности информации в КС, реализация которой, как правило, предшествует осуществлению любой из классических угроз. Определение 1.10. Угроза раскрытия параметров КС — преодоление защиты КС, выявления параметров, функций и свойств ее системы безопасности. При анализе угрозы целостности информации следует иметь в виду, что язык ее описания часто аналогичен языку описания угрозы конфиденциальности. Используя при описании требований защиты информации от угрозы целостности доступы субъектов к сущностям