"Человек - самое уязвимое место в системе безопасности.."

Классификация моделей безопасности

В статье будут рассмотрены модели безопасности, которые были реализованы разными авторами для создания своих политик безопасности. Эти модели обрели статус классических, хотя и появились в разное время. В их основе лежит математическая логика. Они делятся на группы:

  • Модели контроля целостности
  • Модели, которые предотвращают угрозу раскрытия информации
  • Модели, которые предотвращают угрозу отказа служб

Модели безопасности, которые предотвращают угрозу раскрытия

Модели этой группы защищают от угроз раскрытия, и делятся на:

  • Модели разграничения доступа, реализованы по принципу разграничения прав
  • Модели на основе канонов теории информации
  • Модели разграничения доступа, реализуются принципы теории вероятности

Модели Дискреционного доступа (DAC)

Модели такого типа нужны для синтеза политик безопасности, которые не разрешают неавторизованному пользователю иметь доступ к данным.

Модель АДЕПТ — 50

Модель имеет 3 типа объектов:

  • U — пользователи
  • J — задания
  • F — файлы
  • T — терминалы

Каждый объект имеет вид (A, C, F, M):

  • A — скаляр, компоненты иерархически упорядоченных уровней безопасности (несекретно, секретно, совершенно секретно)
  • C — дискретный набор рубрик, не зависящих от А
  • M — набор видов доступа, которые разрешены для объекта
  • F — группа пользователей, которые имеют право на доступ к объекту

Если U — множество всех пользователей в системе, а F(i) — набор всех пользователей, которые имеют право работать с объектом i, то существуют следующие правила:

  • u ∈ U — пользователь u имеет доступ к системе, когда пользователь принадлежит к множеству пользователей системы
  • u ∈ F(t) — пользователь u имеет доступ к терминалу t тогда, когда u имеет право пользоваться терминалом t
  • A(j)>=A(f), C(j) >= C(f), M(j) >= M(f), u &sin; F(t) — пользователь u имеет доступ к файлу j тогда, когда привилегии данного задания шире привилегий файла или равны им, а пользователь u есть в группе с определенными полномочиями

Таблица 1 — Матрица безопасности АДЕПТ

Объект A C F M
Пользователь u Const Const {u} Const
Терминал Т Const Const {u(t, i)} Const
Задание j Min (A(u), A(t)) C(u) ∩ C(t) {u(j, i)} M(u) ∩ M(t)
Существующий файл f(i) Const Const {u(f, i)} Const
Новый файл f = g(f1,f2) Max(A(f1), A(f2)) C(f1) ∪ C(f2) {u(f, j)} M(f1) ∪ M(f2)

где, f1,f2 — старый файлы, f — новый файл как функция от f1 и f2

5-мерное пространство безопасности Хартстона

  • A — установленные полномочия
  • E — операции
  • R — ресурсы
  • U — пользователи
  • S — состояния

Доступ дается на основе запроса пользователя u для реализации операции E над ресурсами R тогда, когда система в состоянии S. Запросы имеют право на доступ тогда, когда они полностью соответствуют подпространству правильных запросов. Организация доступа состоит из:

  • Включение всех дополнительных программ, для предварительного принятия решения
  • Выяснить из U группы пользователей, к которым принадлежит u. Затем определить из А спецификаций полномочий, которыми владеет группа. Набор полномочий A(u) определяет права пользователя u
  • Выяснить из А набор A(e) те полномочия, которые дают E параметры основной операции
  • Выяснить из А набор A(R`) — список полномочий, которые можно использовать для определенного задания E

Полномочия в пунктах 2 — 4 (A(u), A(e), A(R`)) создают домен D полномочий для запроса q, где: D(q) = A(u) ∪A(e)∪A(R`);

  • Проверить, что запрашиваемый ресурс R включен в домен D(q)
  • Реализовать разбиение набора домена D(q) на эквивалентные классы, чтобы 2 полномочия попали в эквивалентный класс тогда, когда они определяют одну единицу ресурса.
  • Определить условия доступа, определенному запросу q.
  • Оценить параметры фактического доступа и принять решения
  • Реализовать запись всех событий
  • Вызвать все программы, нужные для создания доступа после принятия решения

Положительные качества такой модели определяет отличная гранулированность защиты и простая реализация. Модели на основе DAC плохо справляются с троянскими конями.

Модели мандатного доступа (MAC)

Мандатный доступ накладывает ограничения на транспортировку данных от одного пользователя к другому, что решает проблему троянских коней. К таким моделям относят:

Специализированная модель MMS

Для устранения недостатков Лендвером и Маклином в этой модели, были предложены определения. Созданы и доказаны в формальной и неформальной модели MMS.

  • Классификация — критерий секретности информации
  • Степень доверия пользователю — каждый пользователь имеет свой степень доверия
  • Пользовательский идентификатор — уникальный код пользователя. Он нужен для аутентификации
  • Роль — это работа пользователя. Пользователь имеет всегда как минимум одну роль
  • Объект — это одноуровневый блок данных
  • Контейнер — многоуровневая информационная структура (файл)
  • Сущность — объект или контейнер
  • Каждый контейнер имеет степень доверия
  • Идентификатор — имся сущности без ссылки на другие сущности
  • Ссылка на сущность является прямой, если это идентификатор сущности, и косвенной если это последовательность двух и более имет, где первое — идентификатор
  • Операция — функция применяемая к сущности
  • Множество доступа — множество троек(операция, пользовательский идентификатор или роль, индекс операнда), которые относятся к сущности
  • Сообщение — контейнер

Неформальная модель MMS

Пользователь имеет доступ к системе после прохождения процедуры аутентификации. Система имеет следующие функциональные ограничения:

    • A1: офицер безопасности системы определяет уровни доверия, реализует классификаций устройств и множество ролей
    • А2: пользователь должен вводить корректную классификацию, когда изменяет информацию
    • А3: пользователь сам классифицирует сообщение и определяет уровень доверия для него
    • А4: пользователь контролирует данные обхъектов, требующих благонадежности
    • B1: Авторизация
    • В2: Классификационная иерархия
    • B3: Изменение объектов
    • B4: Просмотр
    • B5: Доступ к контейнерам
    • B6: Изменения косвенных ссылок
    • B7: Требования меток
    • B8: Установка степени доверия
    • B9: Понижения классификации данных
    • B10: Уничтожение данных

Формальная модель MMS

Главной идеей создания формализации является взгляд на систему как на взаимоотношения между состояниями системы и самой системой. Понимается, что состояние системы складается из сущностей и их отношений, и система добавляет к эти отношениям пользователей и их операции. Главной трудностью, которая возникает при формацлизации модели, это интерпритация копирования, просмотра, выхода из системы и тд. Информация считается скопированной не только когда она переносится из одной сущности в другую, но и когда она дает потенциальный вклад в другую сущность. В формализации вывод системы подразумевается как множество контейнером. Семантика авторизованных операций неспецифицированна.

К плюсам моделей предоставления прав можно отнести понятность и реализацию с высокой точностью. К минусам можно отнести возможность создания скрытых каналов утечки данных.

Смотрите также: