2015-01-30
1396
МЕТОДЫ И СРЕДСТВА ЗащитЫ компьютернОЙ информации
Учебное пособие
1. ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Основные понятия
Для того, чтобы начать обсуждение основных теоретических принципов синтеза и анализов защищенных систем, необходимо ответить на вопрос: "от чего нам следует защищать компьютерную систему". Для этого необходимо выделить и рассмотреть основные типы угроз, после этого мы определяем понятия субъектов, объектов и операций. Далее введем понятия уровней безопасности в системе. При применении данного понятия к субъектам и объектам системы получим понятия доверия и секретности. На основании данных определений рассмотрим описание правил доступа субъектов системы к объектам, в основе которых лежат политики и модели безопасности.
1.1.1. Основные угрозы ВС
Для лучшего понимания возможных угроз и соотнесения их со средствами компьютерной защиты выделим три различных типа угроз. Наиболее общие угрозы вычислительным системам могут быть рассмотрены как относящиеся к раскрытию, целостности или отказу служб вычислительной системы.
|
|
|
Угроза раскрытия
Угроза раскрытия заключается том, что информация становится известной тому, кому не следовало бы ее знать. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен доступ к некоторой секретной информации, хранящейся в вычислительной системе или передаваемая от одной системы к другой. Иногда в связи с угрозой раскрытия используется термин "утечка".
За последние два десятилетия в сферах компьютерной безопасности большое внимание уделялось угрозе раскрытия. Фактически, подавляющее большинство исследований и разработок в области компьютерной безопасности было сосредоточено на угрозах раскрытия. Одной из причин этого являлось значение, которое правительства придавали противостоянию этой угрозе.
Угроза целостности
Угроза целостности включает в себя любое умышленное изменение информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую. Когда взломщики преднамеренно изменяют информацию, мы говорим, что целостность этой информации нарушена. Целостность также будет нарушена, если к несанкционированному изменению приводит случайная ошибка. Санкционированными изменениями являются те, которые сделаны определенными лицами с обоснованной целью (таким изменением является периодическая запланированная коррекция некоторой базы данных). До недавнего времени условно считалось, что правительства сосредотачивались на раскрытии, а деловые круги касались целостности. Однако, обе эти среды могли бы быть более или менее связаны каждой из двух угроз в зависимости от приложения. Например, планы правительственных сражений и коммерческие рецепты безалкогольных напитков должны быть защищены от обоих типов угроз.
|
|
|
Угроза отказа служб
Угроза отказа служб возникает всякий раз, когда в результате преднамеренных действий, предпринятых другим пользователем, умышленно блокируется доступ к некоторому ресурсу вычислительной системы, То есть, если один пользователь запрашивает доступ к службе, а другой предпринимает что-либо для недопущения этого доступа, мы говорим, что имеет место отказ службы. Реально блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан.
1.1.2. Субъекты, объекты и доступ
Под сущностью мы будем понимать любую именованную составляющую компьютерной системы. Субъект будет определяться как активная сущность, которая может инициировать запросы ресурсов и использовать их для выполнения каких-либо вычислительных заданий. Под субъектами мы будем обычно понимать пользователя, процесс или устройство. Объект будет определяться как пассивная сущность, используемая для хранения или получения информации. Примеры объектов: записи, блоки, страницы, сегменты, файлы, директории, биты, байты, слова, терминалы, узлы сети и т.д.
Хотя основную концепцию идентификации субъектов и объектов в системе описать просто, при практической реализации часто бывает не тривиальной задачей определить: что есть субъект, а что - объект. Например, в ОС процессы, конечно, являются субъектами, в то время как файлы и связанные с ними директории - объектами. Однако, когда субъекты получают коммуникационные сигналы от других субъектов, встает вопрос, рассматривать ли их как объекты или же, как объекты.
Обозначим в дальнейших рассуждениях произвольное множество субъектов при помощи символа S, а произвольное множество объектов при помощи символа О.
В процессе исполнения субъекты исполняют операции. При исполнении субъектами операций происходит взаимодействие субъектов и объектов. Такое взаимодействие называется доступом. Доступ - это взаимодействие между субъектом и объектом, в результате которого происходит перенос информации между ними. Существуют две фундаментальные операции, переносящие информацию между субъектами и объектами. Под операцией чтения понимается операция, результатом которой является перенос информации от объекта к субъекту. Под операцией записи понимается операция, результатом которой является перенос информации от объекта к субъекту. Данные операции являются минимально необходимым базисом для описания широкого круга моделей, описывающих защищенные системы.
1.1.3. Уровни безопасности, доверие и секретность
Уровень безопасности определяется как иерархический атрибут, который может быть связан с компьютерной системой для обозначения степени ее чувствительности в смысле безопасности. Данная степень чувствительности может помечать, например, степень ущерба от нарушения безопасности в компьютерной системе.
Когда в системе существуют такие иерархические отношения, то требуется некий механизм, помечающий основное содержимое компьютерной системы, чтобы его безопасностная чувствительность была известна. Один из путей достижения этого - ассоциировать каждую составляющую компьютерной системы с уровнем безопасности. Например, в военном деле набор уровней состоит из неклассифицированной информации, конфиденциальной, секретной и особо секретной. Иерархия уровней безопасности в военном деле устанавливается тем фактом, что особо секретная информация рассматривается как вышестоящая над секретной; которая, в свою очередь стоит выше конфиденциальной, а последняя стоит выше неклассифицированной.
|
|
|
Для представления уровней безопасности введем простые математические структуры и соотношения. Обозначим множество уровней безопасности символом L; иерархическое отношение между различными элементами L описываются символами: "<", "<=:", ">" и ">=". L может рассматриваться как полностью упорядоченное множество (т.е. любые два элемента L можно сравнить для определения того, равны они, или какой-то из них больше другого).
Доверие определяется как атрибут, задающий чувствительность субъекта к безопасности; секретность определяется как атрибут объекта, обозначающий его чувствительность к безопасности. Эти концепции можно представить при помощи проекции субъектов и объектов на уровни безопасности посредством двух простых функций: clearance и classification. (властью значений каждой из функций является множество L. Функция clearance определена на множестве S, a classification определена на множестве О. Эти функции записываются в виде:
clearance: S -> L
classification: О -> L
1.1.4. Политики и модели безопасности
Определив понятие доступа, рассмотрим правила доступа субъектов к объектам в компьютерной системе. Для этого введем понятие политики безопасности. Политика безопасности подразумевает множество условий, при которых пользователи системы могут получить доступ к информации и ресурсам. Таким образом, политика безопасности определяет множество требований, которые должны быть выполнены в конкретной реализации системы. Очевидно, для проведения желаемой политики безопасности в системе должны присутствовать соответствующие механизмы. В большинстве случаев механизмы безопасности содержат некоторые автоматизированные компоненты, зачастую являющиеся частью базового вычислительного окружения (операционной системы), с соответствующим множеством процедур пользователя и администратора. Теперь рассмотрим понятие модели безопасности. В то время, как политика безопасности — это множество требований для конкретной системы, модель безопасности — это абстрактное описание поведения целого класса систем, без рассмотрения конкретных деталей их реализации. В результате, модели безопасности являются полезным инструментарием при разработке определенных политик. Политика безопасности компьютерной системы может быть выражена формальным и неформальным образом.
|
|
|
Для неформальных политик безопасности широкое распространение получило описание правил доступа субъектов к объектам в виде таблиц, наглядно представляющих правила доступа. Обычно такие таблицы подразумевают, что субъекты, объекты, и типы доступа для данной системы определены. Это позволяет составить таблицу в виде одной колонки для различных определенных типов доступа, и одной колонки для соответствующего отношения, которое должно соблюдаться между субъектом и объектом для данного типа доступа.
Преимуществом такого способа представления политики безопасности является то, что она гораздо легче для понимания малоквалифицированных пользователей и разработчиков пользователями, чем формальное описание, т.к. для ее понимания не требуется специальных математических знаний. Это снижает уровень помех, создаваемых безопасностью в использовании данной системы. Основным недостатком, однако, является то, что при такой форме представления гораздо легче допустить логические ошибки, а более сложные выражения будет затруднительно представить в табличной форме. Использование неформальных примечаний для разрешения такого рода проблем только увеличивает вероятность появления ошибки. Особенно это справедливо для политик безопасности нетривиальных систем, подобных многопользовательским операционным системам.
В результате разработчики (а в дальнейшем и пользователи) безопасных компьютерных систем начали использовать более формальные средства для описания политик безопасности. Чаще всего в основе формальных политик безопасности лежат модели безопасности.
Преимуществом формального описания является отсутствие противоречий в политике безопасности, и возможность теоретического доказательства безопасности системы при соблюдении всех условий политики безопасности.
1.1.5. Анализ безопасности программ
Одним из важнейших аспектов проблемы информационной безопасности компьютерных систем является противодействие РПС. Существуют несколько подходов к решению "этой задачи:
- создание специальных программных средств, предназначенных исключительно для поиска и ликвидации конкретных видов РПС (типа антивирусных программ);
- проектирование ВС, архитектура и модель безопасности которых либо в принципе не допускает существование РПС, либо ограничивает область их активности и возможный ущерб;
- создание и применение методов и средств анализа программного обеспечения на предмет наличия в них угроз информационной безопасности ВС и элементов РПС.
Первый подход не может привести к удовлетворительным результатам, т.к. борется только с частными проявлениями сложной проблемы. Второй подход имеет определенные перспективы, но требует серьезной переработки концепции ОС и их безопасности, что связано с огромными затратами.
Поэтому наиболее эффективным представляется третий подход, позволяющий путем введения обязательной процедуры анализа безопасности программ, достаточно надежно защитить наиболее важные системы от РПС. процедуру анализа программного обеспечения на предмет наличия в них угроз информационной безопасности ВС будем называть анализом безопасности программного обеспечения. Данный подход требует разработки соответствующих теоретических моделей программ, ВС и РПС, создания методов анализа безопасности и методик их применения.
