Модели обеспечения конфиденциальности

Наиболее изучены математические модели, формализующие политики безопасности для обеспечения конфиденциальности, основанные на разграничении доступа. Политика безопасности подобных систем направлена на то, чтобы к информации не получили доступа неавторизованные субъекты. Среди этих моделей можно выделить три группы:

а) дискреционные модели (матрицы доступа Харрисона, Руззо и Ульмана, модели Take-Grant, Белла—Л а папула и др.);

б) мандатные модели (Белла—Лападула, Биба, систем военных сообщений);

в) модели ролевого разграничения доступа, которые нельзя отнести ни к дискреционным, ни к мандатным.

Модели данного типа широко используются в большинстве реальных систем. Так, в наиболее ответственных АС требуется обязательное сочетание дискреционного и мандатного доступа,! поэтому рассмотрим их подробнее.

Дискреционное управление доступом есть разграничение доступа между поименованными субъектами и поименованными объектами. Права доступа субъектов к объектам определяются на основе некоторого внешнего (по отношению к системе) правила.5 Политика безопасности либо разрешает некоторое действие над' объектом защиты, либо запрещает его.

Для описания дискреционной модели используется матрица доступа — таблица, отображающая правила доступа. Например в столбцах матрицы могут быть размещены S-субъекты, в строках, объекты, а на пересечении столбцов и строк размещаются права доступа. Права доступа могут быть типа: чтение, запись, запуск процесса, управление доступом к файлу для других пользователей и т.п. Матрицу доступа можно задавать по-разному: отталкиваясь либо от субъектов, либо от объектов.

Примером дискреционной модели является модель Харрисона, Руззо и Ульмана. Элементы этой модели — субъекты, объекты j права доступа и матрица доступов. Рассматриваются следующие права доступа: чтение, запись, владение. Функционирование системы рассматривается только с точки зрения изменений в матрице доступов. Изменения происходят за счет выполнения команд, которые составляются из 6 примитивных операторов: внести/удалить право, создать/уничтожить субъект/объект.

Авторы модели доказали, что в самом общем случае вопрос определения безопасности компьютерной системы неразрешим, т.е. не существует алгоритм, позволяющий определить, безопасна система или нет. Вместе с тем если в системе отсутствуют команды вида Create object, Create subject, то ее безопасность может быть оценена полиномиальным алгоритмом. Конечно, такая система является нереалистичной, поэтому было выполнено множество исследований на тему «Какие самые слабые ограничения можно наложить на систему, чтобы вопрос безопасности оставался разрешимым?». Эти исследования привели, в частности, к разработке системы Take Grant, в которой вопрос безопасности разрешим, причем за полиномиальное время.

К достоинствам моделей дискреционного доступа можно отнести их гибкость.

Основным фундаментальным недостатком данных моделей является так называемая проблема троянских программ, заключающаяся в том, что нарушитель может навязать пользователю выполнение программы, которая бы считывала данные из недоступного для нарушителя объекта и записывала их в разделяемый между пользователем и нарушителем объект.

Другой недостаток — огромный размер матриц, необходимый для использования в реальных системах. При дискреционном доступе необходимо описать правила доступа для каждого объекта и субъекта, что для больших систем практически нереализуемо. На практике применяется автоматическое присвоение прав каждой новой сущности, внедряемой в систему, что может приводить к появлению ситуаций наличия некоторых прав по умолчанию, которые могут быть использованы нарушителем (заводские пароли на BIOS, бюджеты по умолчанию в устанавливаемых ОС).

Мандатное управление доступом есть разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и допуска субъектов к информации соответствующего уровня конфиденциальности. В отличие от моделей дискреционного доступа модели мандатного доступа накладывают ограничение на передачу информации от одного пользователя другому, контролируют информационные потоки. Именно поэтому в подобных системах проблемы троянских программ не существует.

Классическим примером модели, мандатного доступа является модель Белла—Лападула. В ней анализируются условия, при которых невозможно возникновение информационных потоков от объектов с большим уровнем конфиденциальности к объектам меньшим уровнем конфиденциальности. Типы доступа, используемые в модели: чтение, запись, добавление в конец объекта; выполнение.

В краткой форме данная модель может быть описана следующими тремя правилами:

1) допускается чтение и запись информации между объектами одного уровня конфиденциальности;

2) не допускается запись информации «вниз», т.е. от объектов с большим уровнем конфиденциальности к объектам с меньшим уровнем;

3) не допускается чтение «вверх», т.е. от объектов с меньшим уровнем конфиденциальности к объектам с большим уровнем.

Второе правило разрешает проблему троянских коней, так как запись информации на более низкий уровень запрещена.

Система состоит из множеств субъектов, объектов, видов и прав доступа, возможных текущих доступов в системе, решетки уровней безопасности, матрицы доступов и тройки функций, определяющих уровень доступа субъекта, уровень конфиденциальности объекта и текущий уровень доступа субъекта.

Ясно, что в «чистом» виде модель Белла—Лападула нереалистична. В самом деле, у субъекта, находящегося на высоком уровне конфиденциальности, может возникнуть потребность создания несекретного документа, однако он вынужден будет присвоить ему высокий гриф.

Другим недостатком является то, что субъект, выполнивший запись в объект более высокого уровня, не может проверить результат этой операции.

В реальных АС всегда есть администраторы, управляющие состоянием системы: они добавляют и удаляют субъекты, объекты, изменяют права доступа. Подобные действия администраторов не могут контролироваться правилами модели Белла—Лападула. Администраторами могут быть не только физические лица, но и процессы и драйверы, обеспечивающие критические функций. Модель Белла—Лападула не устанавливает никаких специальных правил поведения доверенных субъектов.

Фундаментальным недостатком мандатных систем является проблема существования в них скрытых каналов утечки информации. Особенно это актуально для распределенных систем. НаС пример, субъект высокого уровня конфиденциальности одного сегмента АС посылает запрос на чтение объекта с меньшим уровнем конфиденциальности другого сегмента. Этот запрос есть не^ желательный информационный поток «сверху, вниз», нарушающий правила модели Белла—Лападула. Можно привести примеры и других скрытых каналов, образуемых как по памяти, так и по времени.

Для преодоления ограничений в модели Белла—Лападулы были разработаны специализированные, модели. Рассмотрим, например, модель системы военных сообщений (СВС). Она построена на основе модели Белла—Лападулы и ориентирована прежде всего на системы приема, передачи и обработки почтовых сообщений, реализующих мандатную политику безопасности. В данной модели делается различие между одноуровневым объектом и многоуровневым контейнером, содержащим в себе объекты. Контейнер и объекты называют сущностями, которые имеют идентификаторы. У контейнера есть атрибут, определяющий порядок обращения к его содержимому. На объект можно ссылаться либо непосредственно, либо косвенно — через контейнеры, в которых он содержится.

В модели С ВС рассматриваются операции над входящими и исходящими сообщениями, а также операции хранения и получения сообщений. Сообщение, как правило, является контейнером, состоящим из сущностей, описывающих его параметры: кому, от кого и т.п.

В модели СВС описываются четыре постулата безопасности, обязательных для выполнения:

1. Администратор корректно разрешает доступ пользователей к сущностям и назначает уровни конфиденциальности устройств и множества прав.

2. Пользователь верно назначает уровни конфиденциальности модифицируемых им сущностей.

3. Пользователь корректно направляет сообщения по адресам и определяет множества доступа к созданным им сущностям.

4. Пользователь правильно определяет атрибут контейнера.

В модели СВС описываются такие свойства, как авторизация, иерархия уровней конфиденциальности, безопасный перенос информации, безопасный просмотр, доступ к сущностям, безопасное понижение уровня конфиденциальности, отправление сообщений и др.

Недостатком модели СВС является то, что в ней отсутствует описание механизмов администрирования. Предполагается, что создание сущностей, присвоение им уровней конфиденциальности, задание множества доступов происходят корректно.

Так же, как и во всех моделях мандатного доступа, в СВС есть угроза утечки информации по скрытым каналам.

Попытки распространить мандатную модель на низкоуровневые механизмы, реализующие управляемые взаимодействия, приводят к нарушению политики безопасности. Например, ее нельзя применить для сетевых взаимодействий: нельзя построить распределенную систему, в которой информация передавалась бы только в одном направлении, всегда будет существовать обратный поток информации, содержащий ответы на запросы, подтверждения получения и т. п.

В модели ролевого разграничения доступа (РРД) права доступа субъектов к объектам группируются с учетом специфики их применения, образуя роли. Модель РРД является развитием политики дискреционного разграничения доступа, но ее фундаментальное отличие состоит в том, что пользователи не могут передавать права на доступ к информации, как это было в моделях дискреционного доступа. Некоторые авторы полагают, что модель РРД нельзя отнести ни к дискреционным, ни к мандатным, так как управление доступом в ней осуществляется как на основе матрицы прав доступа для ролей, так и с помощью правил, регламентирующих назначение ролей пользователям и их активацию во время сеансов.

РРД активно применяется в существующих АС. В данной модели субъект замещается понятиями «пользователь» и «роль», пользователь — человек, работающий с системой, выполняющий определенные служебные обязанности. Роль — активно действующая в системе абстрактная сущность, с которой связана совокупность прав доступа. Количество ролей в системе может не соответствовать количеству пользователей. Один пользователь может выполнять несколько ролей, а несколько пользователей могут выполнять одну и ту же роль.

Основными элементами модели РРД являются множества пользователей, ролей, прав доступа на объекты АС, сессий пользователей, а также функции, определяющие для каждой роли множества прав доступа, для каждого пользователя — множество ролей, на которые он может быть авторизован, для каждой сессии пользователя, от имени которого она активизирована, для каждо-1 го пользователя — множество ролей, на которые он авторизован в данной сессии.

Система считается безопасной, если любой ее пользователь, работающий в некотором сеансе, может осуществлять действия, требующие определенные полномочия, лишь в том случае, если эти полномочия доступны для его роли (назначается только одна из всей совокупности доступных ролей для сеанса) в данном сеансе.

Для обеспечения соответствия реальным компьютерным системам на множестве ролей строится иерархическая структура. Это позволяет пользователю, авторизованному на некоторую роль, быт автоматически авторизованным на все роли, меньшие ее в иерархии.

Ролевая политика обеспечивает удобное администрирование! безопасности АС, так как пользователям даются не индивидуальные права, а предоставляются права, связанные с конкретной ролью. Понятие роли используется в ГОСТ Р ИСО МЭК 15408 — 2002, а также в стандарте SQL3.

Несмотря на то что в рамках модели РРД формально доказать безопасность системы невозможно, она позволяет получить простые и понятные правила контроля доступа, которые легко могут быть применимы на практике. Кроме того, возможно объединение модели РРД мандатной и дискреционными моделями. Например, полномочия ролей могут контролироваться правилами этих политик, что позволяет строить иерархические схемы контроля доступа.

В автоматной модели безопасности информационных потоков система защиты представляется детерминированным автоматом, на вход которого поступает последовательность команд пользователей. Элементами данной системы являются множества состояний системы, пользователей, матриц доступов, команд пользователей, изменяющих матрицу доступа, команд пользователей, изменяющих состояние, выходных значений, а также функция перехода системы.

Существуют два типа команд пользователей: изменяющие состояние системы либо модифицирующие матрицу доступа. Для каждого пользователя в матрице доступа определены команды., которые он может выполнять (дискреционное разграничение доступа).

Для каждого пользователя задается функция выходов, определяющая, что каждый из них видит при данном состоянии системы.

Политика безопасности в автоматной модели безопасности — это набор требований информационного невмешательства. Невмешательство — ограничение, при котором ввод высокоуровневого пользователя не может смешиваться с выводом низкоуровневого пользователя. Модель невмешательства рассматривает систему, состоящую из четырех объектов: высокий ввод (high-in), низкий ввод (low-in), высокий вывод (high-out), низкий вывод (low-out).

Главное достоинство данной модели по сравнению с моделью Белла—Лападула — отсутствие в ней скрытых каналов. Недостаток заключается в высокой сложности верификации модели.

Модель не выводимости также основана на рассмотрении информационных потоков в системе. Система считается невыводимо безопасной, если пользователи с низким уровнем безопасности не могут получить информацию с высоким уровнем безопасности в результате любых действий пользователей с высоким уровнем безопасности.

Требования информационной невыводимости более строгие, чем требования безопасности модели Белла—Лападула, и предполагают изоляцию друг от друга высокоуровневых и низкоуровневых объектов системы, что практически нереализуемо на практике.

11.2.3. Модели обеспечения целостности

Цель политики безопасности в данных моделях — зашита от нарушения целостности информации. Наиболее известны в этом классе моделей мандатная модель целостности Биба и модель Кларка—Вильсона. В основе модели Биба лежат уровни целостности; аналогичные уровням модели Белла—Лападула. В отличие от модели Белла—Лападула чтение разрешено теперь только вверх (от субъекта к объекту, уровень ценности которого превосходит уровня субъекта), а запись — только вниз. Правила данной модели являются пол? ной противоположностью правилам модели Белла—Лападула.

В модели Биба рассматриваются следующие доступы субъектов к объектам и другим субъектам: доступ субъекта на модификацию объекта, доступ субъекта на чтение объекта, доступ субъекта на выполнение и доступ субъекта к субъекту.

В отличие от модели Белла—Лападула требования безопасности в модели Биба динамические, так как для их описания используются элементы текущего и последующего состояний системы.

Подобно модели Белла—Лападула, модель Биба простая и ясная для понимания, однако она унаследовала все ее недостатки; Кроме того, одновременное применение моделей Биба и Белла—Лападула затруднено в силу их противоречивости. Например, для чтения субъектом информации из объекта в первой вышеуказанной модели его уровень должен быть ниже, а во второй модели — выше, чем у объекта.

Основу модели Кларка—Вильсона составляют транзакции, которые включают операции, переводящие систему из одного со? стояния в другое. Вся совокупность данных (объекты доступа) делится на два класса: целостность одних контролируется, целостность других не контролируется. Субъекты в рамках данной модели должны порождать лишь правильно сформулированные транзакции, где субъект инициирует последовательность действий которая выполняется управляемым и предсказуемым образом.

В модели определено также понятие процедуры подтверждения целостности, которая применяется по отношению к данным; подлежащим контролю. По отношению к этим данным должны применяться лишь правильно сформулированные транзакций, которые не могут нарушить целостность данных. Все операции разрешаются только авторизованным пользователям и регистрируются. Кроме того, существуют процедуры постановки на контроль целостности ранее неконтролируемых данных.

Преимуществом модели является то, что она основана на проверенных временем методах обращения с бумажными ресурсами. К недостаткам можно отнести сложность практической реализации в реальных системах, ее неформализованность и некоторую противоречивость в правилах.

Известны подходы к объединению модели Кларка—Вильсона с моделью Биба. Модель Биба реализует защиту от атак субъектов, находящихся на низшем уровне целостности, но неспособна отразить атаки своего уровня целостности. Поэтому ее целесообразно объединять с моделью Кларка—Вильсона, которая может задавать определенные отношения в пределах каждого уровня целостности.

В качестве вывода необходимо констатировать высокую трудоемкость применения теоретических моделей, неадекватное описание большинством из них процессов, происходящих в АС. Например, большинство моделей не учитывают возможные действия субъектов по изменению свойств АС. Описанию порядка безопасного взаимодействия субъектов системы, описанию и обоснованию необходимых условий реализации безопасности посвящена субъектно-ориентированная модель.