Информационная безопасность. Курс лекций
Шрифт:
Центральной в проблеме защиты информации от НСД является задача разграничения функциональных полномочий и доступа к информации, направленная не только на предотвращение возможности потенциального нарушителя "читать" хранящуюся в компьютере информацию, но и на предотвращение возможности нарушителя модифицировать ее штатными и нештатными средствами.
4 Требования по защите от НСД в различных приложениях могут существенно варьироваться, однако они всегда направлены на достижение (в определенном сочетании) трех основных свойств защищаемой информации:
– конфиденциальность (засекреченная информация должна быть доступна только тому,
– целостность (информация, на основе которой принимаются важные решения, должна быть достоверной, точной и защищенной от возможных непреднамеренных и злоумышленных искажений);
– готовность (информация и соответствующие автоматизированные службы должны быть доступны, готовы к обслуживанию всегда, когда в них возникает необходимость).
На практике существует весьма широкий спектр различных подходов и методов реализации программных и аппаратных средств разграничения доступа (СРД), в том числе с применением криптографии.
Однако для всех СТД присуши некоторые общие черты и единообразные базисные компоненты, такие, как диспетчер доступа, модель зашиты и блок аутентификации.
Реализуемый в виде совокупности программно-аппаратных механизмов, диспетчер доступа обеспечивает необходимую дисциплину разграничения доступа субъектов (активных элементов вычислительного процесса: пользователей, процессов, процедур и т. п.) к объектам (пассивным информационным элементам и контейнерам данных: файлам, томам данных, устройствам, программам и т. п.), описываемую посредством математически строгой модели защиты. На основании полномочий субъекта и свойств объекта данных, записанных в базе полномочий, и характеристик доступа, диспетчер принимает решение разрешить доступ, либо отказать в нем.
В идеале диспетчер доступа (ДЦ) должен отвечать следующим фундаментальным требованиям:
– формальная модель защиты – алгоритм принятия решения о доступе, закладываемый в основу СРД, должен базироваться на формальной модели защиты, обеспечивающей возможность математически строгого анализа характеристик безопасности защищаемой вычислительной системы;
– верифицируемость – программно-аппаратные механизмы СРД должны быть достаточно простыми, небольшими по объему и хорошо структурированными для того, чтобы была обеспечена возможность их верификации, то есть подтверждения корректности и соответствия логики их функционирования заданной модели защиты; – защищенность механизмов – программно-аппаратные механизмы и информационные структуры СРД должны быть надежно защищены от случайной или преднамеренной модификации;
– полнота контроля – СРД должна контролировать все обращения к защищаемому объекту по всем возможным каналам доступа.
Формальная модель защиты является математической абстракцией, отображающей взаимоотношения между пользователем и данными в вычислительной системе. Она необходима и как инструмент для 38 исследования поведения вычислительной системы с точки зрения возможной утечки информации, так и в качестве алгоритмической базы для реализации, программно-аппаратных механизмов диспетчера доступа.
Одним из важных элементов СРД является блок аутентификации, ответственный за достоверное опознание (или, как иногда говорят, за подтверждение подлинности) пользователя. В большинстве практических случаев вполне приемлемым может считаться способ аутентификации, основанный на проверке предъявляемого пользователем секретного пароля (признаком является
Для объективной оценки защищенности вычислительных систем от НСД общепринятым является подход, основанный на методе экспертной оценки совокупности функциональных и качественных характеристик операционной среды, зафиксированных в соответствующих национальных и международных стандартах (таких, например, как европейский стандарт "Критерии оценки безопасности информационных технологии"). При этом одним из наиболее сложных вопросов аттестации защищенности является подтверждение невозможности "прокола" операционной системы со стороны пользовательских программ. С этой целью необходимо использовать трудоемкие и дорогостоящие методы разработки доказательно корректного" (доверенного) программного обеспечения, методы формальной верификации программ и т. п. В качестве альтернативного подхода предлагается шире использовать методы криптографического разграничения доступа.
Средства разграничения функциональных полномочий и доступа находят применение не только для защиты информационной собственности, но могут широко использоваться в целях обеспечения непрерывности, корректности и надежности функционирования АС, информационных служб.
Вопрос 2. Формальные модели защиты
Рассмотрим так называемую матричную модель защиты, получившую на сегодняшний день наибольшее распространение на практике.
В терминах матричной модели, состояние системы защиты описывается тройкой:
(S, О, М),
где S – множество субъектов доступа, являющихся активными структурными элементами модели (в большинстве случаев субъекты в свою очередь могут рассматриваться как объекты доступа, т. е. S является подмножеством О);
О – множество объектов доступа, являющихся пассивными защищаемыми элементами модели; каждый объект однозначно идентифицируется с помощью имени объекта;
М – матрица доступа, в которой строки соответствуют субъектам, а столбцы объектам; значение элемента матрицы М[S,О] определяет права доступа субъекта S к объекту О.
Права доступа регламентируют способы обращения субъекта 5 к различным типам объектов доступа. Так, например, права доступа к файлам или сегментам памяти обычно определяют как чтение (К), запись (АУ) и выполнение (Е). В некоторых системах используется еще одно право доступа – дополнение (А), означающее право субъекта производить запись данных в свободные области объекта без перекрытия имеющихся данных.
С помощью матрицы доступа может быть описано состояние любой, сколь угодно сложной системы защиты в произвольный момент ее существования. Однако, несмотря на гибкие изобразительные возможности, матричным моделям присущи и серьезные недостатки.