Модели безопасности компьютерных систем. Управление доступом и информационными потоками

            1.1.Цевяни1







        МОДЕЛИ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ Управление шипом о информационными потокоми




Рекомендовано Гэсударственным образовательным учреждением высшего профессионального образования «Академия Федеральной службы безопасности Российской Федерации» в качестве учебного пособия для студентов высших учебных заведений, обучающихся по специальностям направления подготовки 090300 - «Информационная безопасность вычислительных, автоматизированных и телекоммуникационных систем» и направлению подготовки 090900 - «Информационная безопасность». Регистрационный номер рецензии № 742 от 25 февраля 2010 г. (ГОУ ВПО «Московский государственный университет печати»)







Москва Горячая линия - Телеком 2012

УДК 004.056
ББК 32.973.2-018.2я73
   Д25
Р е ц е н з е н т ы : зав. кафедрой защиты информации и криптографии Томского государственного университета, доктор техн. наук, профессор Г. П. Агибалов; зам. зав. кафедрой «Стратегические информационные исследования» МИФИ, канд. техн. наук, доцент В. А. Петров; зам. зав. кафедрой «Информационная безопасность банковских систем» МИФИ, канд. техн. наук, доцент А. И. Толстой; руководитель направления по работе с образовательными учреждениями ЗАО «Лаборатория Касперского» С. И. Ефимова.

       Девянин П. Н.
Д25 Модели безопасности компьютерных систем. Управление доступом и информационными потоками. Учебное пособие для вузов. - М.: Горячая линия-Телеком, 2012. - 320 с.: ил.
      ISBN 978-5-9912-0147-6.
           Рассмотрены с полными доказательствами положения основных моделей безопасности компьютерных систем: дискреционного, мандатного, ролевого управления доступом, безопасности информационных потоков и изолированной программной среды. Описан используемый в рассматриваемых моделях математический аппарат. Классические модели дополнены ориентированными на применение в современных компьютерных системах моделями безопасности логического управления доступом и информационными потоками (ДП-моделями). Приведены примеры решения задач на практических занятиях. Изложены методические рекомендации по организации изучения моделей безопасности компьютерных систем.
           Для студентов вузов, обучающихся по специальностям направления подготовки 090300 - «Информационная безопасность вычислительных, автоматизированных и телекоммуникационных систем» и направления подготовки 090900 - «Информационная безопасность», преподавателей и специалистов в области защиты информации.
ББК 32.973.2-018.2я73

Адрес издательства в Интернет WWW.TECHBOOK.RU

Учебное издание

Девянин Пётр Николаевич
Модели безопасности компьютерных систем.
Управление доступом и информационными потоками
Учебное пособие


Редактор Ю. Н. Чернышов Компьютерная верстка Ю. Н. Чернышова Обложка художника В. Г. Ситникова

    Подписано в печать 20-08-2010- Печать офсетная. Формат 60x88/16, Уч. изд. л. 20. Доп. тираж 100 экз.
ISBN 978-5-9912-0147-6                      © П. Н. Девянин, 2011, 2012
                            © Издательство Горячая линия-Телеком, 2012

       Предисловие



      Исследование формальных моделей, особенно моделей безопасности управления доступом и информационными потоками в компьютерных системах (КС), создает предпосылки для развития теории компьютерной безопасности и разработки новых эффективных методов анализа защищенности современных или перспективных КС, например операционных систем, СУБД, электронных почтовых систем.
      В существующей литературе по компьютерной безопасности, в том числе учебной, часто приводятся описания моделей безопасности. Однако их изложение, как правило, носит фрагментарный характер. При этом основное внимание уделяется лишь общей формулировке основных определений и результатов моделей либо краткому их перечислению обзорного характера (без подробного рассмотрения, применяемого математического аппарата и приведения доказательств). В то же время в книгах, где доказательства приводятся, опи, как правило, даются в общих чертах.
      В пособии рассмотрены с полными доказательствами положения классических моделей безопасности КС: дискреционного, мандатного, ролевого управления доступом, безопасности информационных потоков и изолированной программной среды. Приведен используемый в рассматриваемых моделях математический аппарат. Классические модели по сравнению с [6] дополнены семейством моделей безопасности логического управления доступом и информационными потоками (ДП-моделей), адаптированных к условиям функционирования современных КС. Кроме того, приведены контрольные вопросы и задачи, среди которых выделены задачи повышенной сложности (отмечены символом «*»), даны примеры решения задач на практических занятиях, а также изложены методические рекомендации по организации изучения моделей.
      Детальное изучение моделей безопасности КС целесообразно по следующим основным причинам.
      Во-первых, модели могут быть непосредственно использованы для анализа безопасности существующих или перспективных КС, особенно в случаях, когда требуется получение гарантий защищенности КС. Например, в соответствии с [1] при анализе безопасности КС, которые должны обладать высоким уровнем доверия, начиная с оценочного уровня доверия 5 (ОУД 5), требуется, чтобы при разработке КС была использована формальная модель политики безопасности. При этом, как минимум, требуется моделировать политики управления доступом и информационными потоками (если опи

Предисловие

  являются частью политики безопасности КС), так как в настоящее время это признается возможным.
      Во-вторых, существующие модели безопасности КС могут быть использованы как основа (как «строительный материал») для разработки более совершенных моделей, позволяющих более точно описывать и исследовать особенности функционирования механизмов защиты современных КС.
      В-третьих, часто классические модели безопасности КС позволяют формально анализировать свойства механизмов защиты КС, которые уже были хорошо известны из опыта практической разработки или эксплуатации КС. В то же время по мере развития теории компьютерной безопасности могут создаваться новые модели (например, ДП-модели), с применением которых возможно сначала теоретическое описание и исследование свойств механизмов защиты, а затем подтверждение наличия этих свойств у реальных КС.
      В-четвертых, владение знаниями о моделях безопасности КС предоставляет специалисту в области компьютерной безопасности возможности для строгого научного и теоретически обоснованного изложения результатов прикладных исследований, что в свою очередь создает дополнительные предпосылки для его научного роста.
      Содержание пособия основано на реализации компетентностно-го подхода, положенного в основу федеральных государственных образовательных стандартов высшего профессионального образования (ФГОС ВПО) третьего поколения в области информационной безопасности.
      Пособие предназначено для преподавания следующих дисциплин:
      «Теоретические основы компьютерной безопасности» для магистров направления подготовки 090900 — «Информационная безопасность»;
      «Модели безопасности компьютерных систем» специальности 090301 — «Компьютерная безопасность»;
      «Безопасность информационных и аналитических систем» специальности 090305 — «Информационно-аналитические системы безопасности»;
      «Основы информационной безопасности» для бакалавров направления подготовки 090900 — «Информационная безопасность» и других специальностей направления подготовки 090300 — «Информационная безопасность вычислительных, автоматизированных и телекоммуникационных систем».
      Пособие разработано на основе пятнадцатилетнего опыта преподавания моделей безопасности КС в 11 КС 11 Академии ФСБ России.

 Глава 1


      Основные понятия



       и определения, используемые при описании моделей безопасности компьютерных



       систем



1.1.  Элементы теории компьютерной безопасности
1.1.1. Сущность, субъект, доступ, информационный поток
      В теории компьютерной безопасности, как правило, используются понятия «сущность» {entity), «объект» {object), «субъект» {subject) и «доступ» (access). Для описания свойств КС, в которых рассматриваются сущности, обладающие внутренней структурой, в ряде случаев, кроме понятия «объект», рассматривается понятие «контейнер» {container).
      Любая сущность КС в произвольный момент времени может быть однозначно представлена словом некоторого языка (набором данных), которое может рассматриваться как состояние сущности [4].
      На основе [1] дадим определения.
      Определение 1.1. Объект или контейнер — сущность КС, которая содержит или получает информацию (данные) и над которой субъекты выполняют операции. Субъект — сущность КС, которая инициирует выполнение операций пад сущностями. При этом по определению предполагается:
    • контейнеры могут состоять из объектов и других контейнеров;
    • субъекты КС могут получать доступ к объектам целиком, но не могут получать доступ к частям объекта;
    • субъекты КС могут получать доступ к контейнеру и к сущностям, из которых состоит контейнер.
      Для выполнения операций пад сущностями КС субъекты осуществляют к ним доступы. В большинстве случаев рассматриваются следующие основные виды доступов:

Глава 1

    read — доступ па чтение из сущности;
    write — доступ па запись в сущность;
    append — доступ па запись в конец слова, описывающего состояние сущности;
    execute — доступ па активизацию субъекта из сущности.
    Другие виды доступов субъектов к сущностям КС часто могут быть реализованы с использованием рассмотренных видов доступов.
    В современной теории компьютерной безопасности наибольшее развитие в области формального моделирования безопасности КС получил подход, заключающийся в представлении исследуемой КС в виде абстрактной системы (автомата), каждое состояние которой описывается доступами, реализуемыми субъектами к сущностям, а переходы КС из состояния в состояние описываются командами или правилами преобразования состояний, выполнение которых, как правило, инициируются субъектами. В основе данного подхода используется аксиома 1.1 [39], позволяющая выделить элементы КС, необходимые для анализа ее безопасности.
    Аксиома 1.1 (основная аксиома компьютерной безопасности). Все вопросы безопасности информации в КС описываются доступами субъектов к сущностям.
    Другие подходы, ориентированные, например, па формальное описание политик безопасности [26], сетевых протоколов [15, 21], правил фильтрации пакетов сетевого информационного обмена, со временем, получив соответствующее теоретическое обоснование, также могут быть применены для моделирования безопасности КС.
    Важную роль при исследовании безопасности КС играет анализ информационных потоков (information flow), возникающих в результате реализации субъектами КС доступов к сущностям. В соответствии с [22, 28] дадим определение.
    Определение 1.2. Информационным потоком от сущности-источника к сущности-приемнику называется преобразование данных в сущности-приемнике, реализуемое субъектами КС, зависящее от данных, содержащихся в сущности-источнике.
    В рассматриваемых в пособии формальных моделях анализ безопасности информационных потоков основан па применении аксиом 1.1-1.3.
    Аксиома 1.2. Все действия в КС, в том числе выполпение операций над сущностями, порождение информационных потоков, изменение параметров и настроек системы защиты КС, порождение новых субъектов, могут быть инициированы только субъектами КС с использованием доступов к сущностям КС.

Основные понятия и определения

7

    Аксиома 1.3. Все информационные потоки в КС порождены доступами субъектов к сущностям.

1.1.2. Классическая классификация угроз безопасности информации
    Определение 1.3. Угроза безопасности информации или КС — потеициалъио возможное воздействие на информацию или КС, которое прямо или косвенно может нанести урон полъзователям или владелицам информации или КС.
    При классификации угроз выделяют три основных свойства безопасности информации в КС [5].
    Определение 1.4. Конфиденциальность информации — субъективно определяемая характеристика информации, указывающая на необходимость введения ограничений на множество субъектов, имеющих доступ к данной информации.
    Определение 1.5. Целостность информации — свойство информации, заключающееся в ее существовании в неискаженном виде.
    Определение 1.6. Доступность информации — свойство КС (среды, средств и технологии обработки), в которой циркулирует информация, характеризующееся способностью КС обеспечивать своевременный доступ субъектов к запрашиваемой ими информации.
    В соответствии с тремя основными свойствами безопасности информации различают три классических угрозы безопасности информации в КС.
    Определение 1.7. У гроза конфиденциальности информации — состоит в нарушении установленных ограничений на доступ к информации.
    Определение 1.8. Угроза целостности информации — несанкционированное изменение информации, случайное или преднамеренное.
    Определение 1.9. Угроза доступности информации — осуществляется, когда несанкционированно блокируется доступ к информации (блокирование может быть постоянным или на некоторое время, достаточное, чтобы информация стала бесполезной).
    Кроме перечисленных угроз выделяют еще одну угрозу безопасности информации в КС, реализация которой, как правило, предшествует осуществлению любой из классических угроз.
    Определение 1.10. Угроза раскрытия параметров КС — преодоление защиты КС, выявления параметров, функций и свойств ее системы безопасности.

Глава 1

    При анализе угрозы целостности информации следует иметь в виду, что язык ее описания часто аналогичен языку описания угрозы конфиденциальности. Используя при описании требований защиты информации от угрозы целостности доступы субъектов к сущностям можно сделать выводы аналогичные выводам, полученным при описании требований защиты от угрозы конфиденциальности, при этом следует заменить доступы па чтение информации доступами па запись и наоборот.
    Угроза доступности информации, как правило, описывается с использованием параметра, называемого максимальным временем ожидания ответа па запрос па доступ к ресурсу (МWT — maximum wait time). Таким образом, для каждого ресурса КС определяется время, приемлемое для ожидания его получения.

1.1.3. Виды информационных потоков
    Как правило, при моделировании безопасности КС [25, 26, 29] рассматриваются два основных вида информационных потоков: информационный поток по памяти и информационный поток по времени. В современных КС велико многообразие способов реализации информационных потоков, а также используемых для этого информационных технологий. Классификация информационных потоков является достаточно условной, так как вид информационного потока может зависеть от функций и назначения субъектов и сущностей, видов доступа, используемых для реализации информационного потока, а также требований априорно заданной политики управления доступом и информационными потоками КС. Дадим определение.
    Определение 1.11. Информационный поток по памяти — информационный поток, при реализации которого фактор времени не является существенным.
    Определение 1.12. Информационный поток по времени — информационный поток, при реализации которого фактор времени является существенным (например, передача данных осуществляется путем изменения продолжительности интервалов времени между событиями в КС или путем изменения последовательностей событий в КС).
    Рассмотрим примеры.
    Пример 1.1. Информационный поток по памяти, как правило, описывается схемой, приведенной па рис. 1.1, па которой используются следующие обозначения:
    и — субъект-нарушитель;
    U2 — субъект-пользователь;

Основные понятия и определения

9

write

            У write read            write read \
® <------•------->■ ® -<----•------->-®
01       Ui        02       «2        °3
Рис. 1.1. Информационный поток по памяти

    oi — объект (сущность-объект), доступный нарушителю на запись;
    02 — общедоступный объект;
    03 — объект, доступ к которому на чтение разрешен субъекту-пользователю и запрещен любой доступ субъекту-парушителю.
    Информационные потоки по памяти могут возникать в КС в результате реализации имеющихся у субъектов доступов к объектам. Например, информационный поток по памяти возникает в случае, когда субъектами и± и и используется общедоступный на чтение и запись объект 02, являющийся файлом расширения виртуальной памяти, временным (tcm/p) файлом или сегментом оперативной памяти.                                                      |
    Пример 1.2. Информационный поток по времени, как правило, описывается схемой, приведенной па рис. 1.2, па которой используются следующие обозначения:
    ui — субъект-нарушитель;
    U2 — субъект-пользователь;
    oi — объект (сущность-объект), доступный нарушителю на запись;
    02 — объект, доступ к которому на чтение разрешен субъекту-пользователю и запрещен любой доступ субъекту-парушителю;
    03 — объект, на который с течением времени отражаются данные о работе пользователя U2.
    Информационные потоки по времени могут возникать в КС в результате реализации с течением времени последовательности имеющихся у субъектов доступов к объектам. Например, в случае, когда в зависимости от данных в объекте 02 субъект и реализует доступы на создание, удаление или переименование объекта 03. Кроме того,

,...... write ............

             / write read           write read
®<-------•------->-®-<....—•-------->• gj
01       »i        0₃       «2      °2
Рис. 1.2. IIнформационный поток по времени

Глава 1

для реализации информационного потока по времени могут использоваться интервалы времени между доступами субъектов к объектам.                                                   |
    Анализ информационных потоков по времени в большинстве случаев выполнить сложнее, чем анализ информационных потоков по памяти, так как причиной возникновения информационных потоков по времени может являться реализация в течение некоторого интервала времени как однократных доступов, так и последовательностей доступов субъектов к сущностям.


1.1.4. Виды политик управления доступом и информационными потоками
    В КС доступ субъекта к сущности разрешается системой управления доступом (или, иначе, системой разграничения доступа) при наличии у субъекта соответствующего права доступа к сущности. Способ задания разрешенных прав доступа субъектов к сущностям КС регламентируется реализуемой в КС политикой управления доступом и информационными потоками, являющейся составной частью политики безопасности КС. На основе [1] дадим определение.
    Определение 1.13. Политика безопасности КС — совокупностью правил, регулирующих управление ресурсами, их защиту и распределение в пределах КС.
    Известны три основных вида политик управления доступом, определяющих способ задания разрешенных прав доступа субъек

тов к сущностям:

     дискреционная политика управления доступом (Discretionary

    Access Control) [31];
    мандатная (полномочная)

политика управления доступом (Man
     datory Access Control) [25];
     политика ролевого управления доступом (Role-based Access Control) [36].

    Кроме политик дискреционного, мандатного или ролевого управления доступом в рассматриваемых в пособии формальных моделях анализируется политики безопасности информационных потоков и изолированной программной среды (ИПС).

Дискреционная политика управления доступом

    Определение 1.14. Дискреционная политика управления доступом — политика, соответствующая следующим требованиям управления доступом в КС:
  • все сущности (в том числе субъекты) должны быть идентифицированы, т.е. каждой сущности должен быть присвоен уникальный идентификатор;