Многоуровневые модели защиты информации Исаева С.К., Валиев М.М. Башкирский государственный университет Уфа, Россия Multi-levelmodelofinformationsecurity Isaeva S.K., Valiev M.M. BashkirStateUniversity Ufa, Russia Появление новых информационных технологий и развитие мощных компьютерных систем хранения обработкиинформации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита информации становится обязательной: разрабатываются документы по защите информации, формируются рекомендации по защите информации. Создана большая нормативно-теоретическая база формальные математические методы которой обосновывают большинство понятий,формулировавшихся ранее лишь с помощью словесных описаний. При этомразработчики систем безопасности, реализующих различные способы и методыпротиводействия угрозам информации, стараются максимально облегчить работу поадминистрированию безопасности. Для этого большинством информационных системиспользуются стандартные подходы, ставшие результатом накопления разработчиками систем защиты опыта создания и эксплуатации подобных систем. Разработка системы защиты информации должна реализовывать какую-либо политику безопасности (набор правил, определяющих множество допустимых действий в системе), при этом должна быть реализована полная и корректная проверка ее условий. С целью устранения недостатков матричных моделей были разработаны так называемые многоуровневые модели защиты, классическими примерами которых являются модель конечных состояний Белла и Ла-Падулы, а также решетчатая модель Д.Деннинг. Многоуровневые модели предполагают формализацию процедуры назначения прав доступа посредством использования так называемых меток конфиденциальности или мандатов, назначаемых субъектам и объектам доступа. Так, для субъекта доступа метки, например, могут определяться в соответствии с уровнем допуска лица к информации, а для объекта доступа (собственно данные) — признаками конфиденциальности информации. Признаки конфиденциальности фиксируются в метке объекта. Права доступа каждого субъекта и характеристики конфиденциальности каждого объекта отображаются в виде совокупности уровня конфиденциальности и набора категорий конфиденциальности. Уровень конфиденциальности может принимать одно из строго упорядоченного ряда фиксированных значений, например: «конфиденциально», "секретно", "для служебного пользования", "несекретно" и т.п. Основу реализации управления доступом составляют:
Таким образом, многоуровневая модель предупреждает возможность преднамеренного или случайного снижения уровня конфиденциальности защищаемой информации за счет ее утечки (умышленного переноса). То есть эта модель препятствует переходу информации из объектов с высоким уровнем конфиденциальности и узким набором категорий доступа в объекты с меньшим уровнем конфиденциальности и более широким набором категорий доступа. Практика показывает, что многоуровневые модели защиты находятся гораздо ближе к потребностям реальной жизни, нежели матричные модели, и представляют собой хорошую основу для построения автоматизированных систем разграничения доступа. Причем, так как отдельно взятые категории одного уровня равнозначны, то, чтобы их разграничить наряду с многоуровневой (мандатной) моделью, требуется применение матричной модели. |
С помощью многоуровневых моделей возможно существенное упрощение задачи администрирования (настройки). Причем это касается как исходной настройки разграничительной политики доступа (не требуется столь высокого уровня детализации задания отношения субъект-объект), так и последующего включения в схему администрирования новых объектов и субъектов доступа.
Первой моделью системы безопасности стала модель Белла - Ла-Падулы (Bell-LaPadulamodel), созданная в 1973-74 годах в MITRE в городе Белфорде в штате Массачусетс по заказу Военно-Воздушных сил США. В 76 году была дополнена до использования в пределах концепции MULTICS (информационно-вычислительная система с мультиплексированием каналов передачи данных), в 86 году адаптирована для использования в сетевых системах. На протяжении 70-х годов оставалась главной моделью политики безопасности и оказала значительное влияние на формирование TCSEC. В изначальном варианте модель Белла – Ла-Падулы предусматривала возможность только мандатный контроль за доступом.
Модель полностью описывается следующими составляющими:
1)Элементы - составные части системы:
• Субъекты - активные объекты (пользователи, программы)
• Объекты – пассивные объекты (пароли, иные данные)
• Атрибуты доступа – всевозможные действия субъектов над объектами: чтение, изменение, дополнение (без чтения!), поиск, исполнение. Возможны различные вариации и дополнения к имеющемуся списку.
• Уровни безопасности – определенное дополнение к субъектам и объектам, определяющее возможность их взаимодействия. У объекта только один уровень безопасности. Уровень безопасности субъекта делится на 2 части:
• Уровень доступа определяет возможность доступа субъекта к определенному классу информации: Совершенно секретно > секретно >конфиденциально> для общего пользования. Субъект с высоким уровнем доступа имеет доступ ко всем последующим уровням доступа.
• Категории доступа – возможные области доступа, в отличие от уровней доступа субъект может обладать несколькими категориями доступа из имеющихся и не имеет доступа к иным категориям.
2)Компоненты - структуры, полностью описывающие состояние системы:
• Текущие состояние доступа составляют тройки субъект-объект + атрибуты доступа.
• Иерархия объектов определяет отношения главный-последующий в структуре объектов, состоит из корневых деревьев и изолированных точек. Главный объект имеет уровень допуска >= уровню допуска последующего объекта.
• Матрица допустимого доступа:
Субъекты по строкам, объекты по столбцам, текущие состояния доступа на соответствующих пересечениях.
• Функция уровня определяет уровень доступа для субъектов и объектов.
3) Свойства :
-Система работает по принципу текущее состояние -> запрос -> решение -> последующее состояние. Работа системы регулируется набором свойств и правил.
-Свойство Простой Безопасности (SimpleSecurityProperty): если в текущем состоянии доступа присутствует тройка субъект-объект-атрибуты доступа и атрибуты доступа разрешают просмотр, то уровень доступа субъекта доминирует над уровнем доступа объекта, т. е. нельзя просматривать объекты более высокого уровня.
-Свойство ‘*’: нельзя записывать в объекты более низкого уровня.
-Свойство самостоятельной защиты (DiscretionarySecurityProperty): все действия субъекта над объектом ограниченны матрицей допустимого доступа. В то время, как первые два свойства определяют по существу все возможные направления передачи информации, DS свойство определяет то, как контролируется доступ в систему в целом - мандатный контроль за доступом.
4) Правила .
Правила определяют переходы системы из текущего состояния в последующее (т.е. задают всевозможные пары запрос-решение с положительным решением ), в базовом наборе было 8 правил, далее список правил расширялся. Правила, добавленные в MULTICS модели позволили изменять уровень безопасности объекта и добавить возможность свободного контроля за доступам в систему.
5)Теоремы и доказательства подтверждающие защищенность системы. Основная теорема безопасности: если начальное состояние системы является безопасным и все последующие переходы системы из одного состояния в другое являются безопасными, то система полностью безопасна.
В целом модель Белла - Ла-Падулы стала первой значительной моделью политики безопасности, применимой для компьютеров, и до сих пор в измененном виде применяется в военной отрасли. Модель полностью формализована математически. Основной упор в модели делается на конфиденциальность, но кроме неё фактически больше ничего не представлено. Еще из недостатков модели стоит отметить невозможность передачи информации от более высокого уровня к нижним, поскольку это значительно снижает возможности управления субъектами. В рамках модели возможно создание незащищенных систем.
Мандатная модель управления доступом основана на правилах секретного документооборота, принятых в государственных и правительственных учреждениях многих стран.
Основным положением политики безопасности является назначение всем участникам процесса обработки защищаемой информации и документам, в которых она содержится, специальной метки (секретно, совершенно секретно и т.д.). Такая метка называется уровнем безопасности. Все уровни безопасности упорядочиваются с помощью установленного отношения доминирования.
Контроль доступа осуществляется в зависимости от уровней безопасности взаимодействующих сторон на основании двух правил:
уполномоченное лицо (субъект) имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности
уполномоченное лицо (субъект) имеет право заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности
Таким образом, мандатные модели управляют доступом неявным образом – с помощью назначения всем сущностям системы уровней безопасности, которые определяют все допустимые взаимодействия между ними. Следовательно, мандатное управление доступом не различает сущностей, которым присвоен одинаковый уровень безопасности, и на их взаимодействия ограничения отсутствуют. Поэтому в тех ситуациях, когда управление доступом требует более гибкого подхода, мандатная модель применяется совместно в какой-либо дискреционной, которая используется для контроля за взаимодействиями между сущностями одного уровня и для установки дополнительных ограничений, усиливающих мандатную модель.
СПИСОК ЛИТЕРАТУРЫ
1. Щеглов А.Ю. Защита компьютерной информации от НСД М.: НПЦ «Аналитика», 2008. с. 436-440.
2.Сидорин Ю.С. Технические средства защиты информации. СПБ.: «СПбГПУ», 2005. с. 4-6, 8-10, 12-15.