Монитор безопасности и основные типы политик безопасности
Анализ практического опыта по защите компьютерной информации, а также основных положений субъектно-объектной модели КС позволяет сформулировать несколько аксиоматических условий, касающихся структуры и функционирования защищенных КС [10,17].
Аксиома 10.1. В защищенной КС в любой момент времени любой субъект и объект должны быть персонифицированы (идентифицированы) и аутентифицированы.
Данная аксиома определяется самой природой и содержанием процессов коллективного доступа пользователей к ресурсам КС. Если какие-либо субъекты (пользователи) имеют возможность выдать себя в КС за других субъектов (пользователей) или если имеют возможность подменять (выдавать) одни объекты доступа за другие, то ни о какой безопасности, защищенности речи быть не может. Таким образом, аксиома 1.1выражает необходимое условие безопасности (защищенности) информации в КС, а процедуры, механизмы и системы, осуществляющие идентификацию и аутентификацию пользователей, их субъектов и объектов доступа, являются исходным и важнейшим программно–техническим рубежом защиты информации в КС.
Аксиома 10.2. В защищенной КС должна присутствовать активная компонента (субъект, процесс и т. д.) с соответствующим объектом(ами)-источником, которая осуществляет управление доступом и контроль доступа субъектов к объектам.
В литературе для данной активной компоненты утвердился термин "монитор безопасности". Понятие монитора безопасности позволяет выразить схемотехнический аспект защиты информации в КС в виде схемы, представленной на рис. 10.2.
В структуре большинства типов программных средств, на основе которых строятся информационные системы (ОС, СУБД), можно выделить ядро (ядро ОС, машина данных СУБД), в свою очередь, разделяемое на компоненту представления информации (файловая система ОС, модель данных СУБД) и на компоненту доступа к данным (система ввода–вывода ОС, процессор запросов СУБД), а также надстройку (утилиты, сервис, интерфейсные компоненты). Инициализированные субъекты при осуществлении процессов доступа обращаются за сервисом, функциями к ядру системы – см. рис. 10.2.а.
Рис. 10.2.а. Системотехнический аспект незащищенной КС
Рис.10.2.б. Системотехнический аспект защищенной КС
В защищенной системе появляется дополнительная компонента, обеспечивающая процессы защиты информации, прежде всего, процедуры идентификации/аутентификации, а также управление доступом на основе той или иной политики безопасности (разграничения доступа) – см. рис. 10.2.б. Ввиду того, что как само ядро КС (компонент представления и компонент доступа), так и процессы разграничения доступа неразрывно связаны с представлением информации и манипулированием с ней, то монитор безопасности должен быть интегрирован непосредственно в ядро системы. Иногда говорят, что монитор безопасности должен быть реализован на нулевом уровне (на уровне ядра) системы. В этом отношении заметим, что более правильный подход заключается в такой разработке компонентов ядра КС, которые бы изначально строились на основе определенной модели безопасности (модели разграничения) доступа.
В практическом плане, в том числе и с учетом отечественных и международных нормативных требований по сертификации защищенных систем, к реализации монитора безопасности предъявляются следующие обязательные требования:
1. Полнота. Монитор безопасности должен вызываться (активизироваться) при каждом обращении за доступом любого субъекта к любому объекту, и не должно быть никаких способов его обхода.
2. Изолированность. Монитор безопасности должен быть защищен от отслеживания и перехвата своей работы.
3. Верифицируемость. Монитор безопасности должен быть проверяемым (само- или внешне тестируемым) на предмет выполнения своих функций.
4. Непрерывность. Монитор безопасности должен функционировать при любых штатных и нештатных, в том числе и аварийных ситуациях2.
Таким образом, именно монитор безопасности в защищенной системе является субъектом осуществления принятой политики безопасности, реализуя через алгоритмы своей работы соответствующие модели безопасности. В этом отношении большое значение имеет следующее аксиоматическое положение.
Аксиома 10.3. Для реализации принятой политики безопасности, управления и контроля доступа субъектов к объектамнеобходима(должна существовать) информация и объект(ы), ее содержащий(ие) (помимо информации для идентификации и аутентификации пользователей).
Из аксиомы 1.3. следует, что монитор безопасности, в свою очередь, как и любая активная сущность в КС, является субъектом с соответствующим объектом-источником и ассоциированными объектами. Отсюда вытекают следующие важные следствия.
Следствие 10.3.1 (из аксиомы 10.3). В защищенной КС существуют особая категория субъектов (активных сущностей), которые не инициализируют и которыми не управляют пользователи системы – т. н. системные процессы (субъекты), присутствующие (функционирующие) в системе изначально.
К числу подобных системных субъектов относится исходный системный процесс, который инициализирует первичные субъекты пользователей, а также монитор безопасности, который управляет доступами субъектов пользователей к объектам системы. Соответственно, для обеспечения защищенности в КС свойства системных субъектов должны быть неизменными, от чего напрямую зависят гарантии безопасности.
Следствие 10.3.2 (из аксиомы 10.3). Ассоциированный с монитором безопасности объект, содержащий информацию по системе разграничения доступа, является наиболее критическим сточки зрения безопасности информационным ресурсом в защищенной КС.
Действительно возможность несанкционированно изменять, удалять данный объект может полностью разрушить или дискредитировать всю систему безопасности КС. Поэтому способы и особенности реализации данного объекта имеют определяющее значение для защищенности информации в КС.
Информация в ассоциированном с монитором безопасности объекте должна касаться конкретных зарегистрированных в системе пользователей и конкретных объектов системы. Следовательно, для планирования и управления системой разграничения доступа конкретного коллектива пользователей КС должна быть предусмотрена процедура доступа к данному объекту со стороны внешнего фактора, т. е. через субъект(ы) пользователя. Отсюда вытекает еще одно следствие.
Следствие 10.3.3 (из аксиомы 10.3). В защищенной системе может существовать доверенный пользователь (администратор системы), субъекты которого имеют доступ к ассоциированному с монитором безопасности объекту–данным для управления политикой разграничения доступа.
Заметим также, что субъекты, инициируемые администратором системы, не являются элементами или процессами монитора безопасности, а лишь обеспечивают монитор безопасности конкретной информацией для управления и контроля доступом субъектов к объектам системы.
Принципы, способы представления и реализация ассоциированных с монитором безопасности объектов определяются типом политики безопасности и особенностями конкретной КС.
Несмотря на то, что к настоящему времени разработано и апробировано в практической реализации большое количество различных, моделей безопасности КС, все они выражают несколько исходных политик безопасности. В упрощенной трактовке политику безопасности понимают как общий принцип (методологию, правило, схему) безопасной работы (доступа) коллектива пользователей с общими информационными ресурсами. При этом согласно определению 10.9.важнейшее значение имеет критерии безопасности доступов субъектов к объектам, т. е. правило разделения информационных потоков, порождаемых доступами субъектов к объектам, на опасные и неопасные.
Методологической основой для формирования политик безопасности в защищенных КС послужили реальные организационно-технологические схемы обеспечения безопасности информации во вне (до) компьютерных сферах. Многие подходы к защите компьютерной информации были "подсмотрены", в частности, в сфере работы с "бумажными" конфиденциальными документами, проще говоря, в сфере делопроизводства. В специальной литературе, посвященной теоретическим основам компьютерной безопасности, излагаются две основных (базовых) политики безопасности – дискреционная и мандатная. В еще не до конца устоявшейся терминологии сферы защиты компьютерной информации, первую называют политикой избирательного доступа, а вторую – политикой полномочного1 доступа. Некоторые авторы, рассматривая модели ролевого доступа, выделяют их в группу особой "ролевой политики безопасности".
Политика дискреционного (избирательного) доступа. Множество безопасных (разрешенных) доступов PL задается для именованных пользователей (субъектов) и объектов явным образом в виде дискретного набора троек "Пользователь(субъект)-поток(операция)-объект".
Принцип дискреционной политики разграничения доступа можно охарактеризовать схемой "каждый-с каждым", т. е. иными словами для любой из всевозможных комбинаций "пользователь (субъект)-ресурс (объект)" должно быть явно задано ("прописано") разрешение/запрещение доступа и вид соответствующей разрешенной/запрещенной операции (Read, Write и т. д.). Таким образом, при дискреционной политике разграничение доступа осуществляется самым детальным образом – до уровня отдельно взятого субъекта, отдельно взятого объекта доступа и отдельно взятой операции.
Политика мандатного (полномочного) доступа. Множество безопасных (разрешенных) доступов PL задается неявным образом через введение для пользователей-субъектов некоторой дискретной характеристики доверия (уровня допуска), а для объектов некоторой дискретной характеристики конфиденциальности (грифа секретности), и наделение на этой основе пользователей-субъектов некими полномочиями порождать определенные потоки в зависимости от соотношения "уровень допуска-поток(операция)-уровень конфиденциальности".
Таким образом, в отличие от дискреционной политики, при мандатной политике разграничение доступа производится менее детально – до уровня группы пользователей с определенным уровнем допуска и группы объектов с определенным уровнем конфиденциальности. Уменьшение гранулированности доступа создает условия для упрощения и улучшения управления доступом ввиду существенного уменьшения количества субъектов управления и контроля.
Политика тематического доступа. Множество безопасных (разрешенных) доступов PL задается неявным образом через введение для пользователей-субъектовнекоторой тематической характеристики – разрешенных тематических информационных рубрик, а для объектов аналогичной характеристики в виде набора тематических рубрик, информация по которым содержится в объекте, и наделение на этой основе субъектов-пользователей полномочиями порождать определенные потоки в зависимости от соотношения "набор тематических рубрик субъекта – набор тематических рубрик объекта".
Как и при мандатном доступе, тематический принцип определяет доступ субъекта к объекту неявно, через соотношение предъявляемых специальных характеристик субъекта и объекта и, соответственно, по сравнению с дискреционным принципом существенно упрощает управление доступом.
Политика ролевого доступа. Множество безопасных (разрешенных) доступов Pl задается через введение в системе дополнительных абстрактных сущностей ролей, выступающих некими "типовыми" (ролевыми) субъектами доступа, с которыми ассоциируются конкретные пользователи (в роли которых осуществляют доступ), и наделение ролевых субъектов доступа на основе дискреционного или мандатного принципа правами доступа к объектам системы.
Ролевая политика разграничивает доступ не на уровне пользователей-субъектов, а на уровне ролей, являющихся группами однотипного доступа к объектам системы, и на этой основе развивает ту или иную базовую политику безопасности (дискреционную или мандатную). Поэтому в большинстве источников ролевой принцип разграничения доступом не выделяется в отдельную политику, а рассматривается в качестве неких дополнений к моделям дискреционного или мандатного доступа.
Каждая политика безопасности требует определенной информации для разграничения доступа в конкретной системе, локализуемойв объекте, ассоциированном с монитором безопасности. Для моделей дискреционного доступа эта информация представляет список разрешенных троек "субъект (пользователь) –операция – объект".Для управления доступом в системах с мандатным доступом необходима информация по уровням допуска субъектов и грифам конфиденциальности объектов. В системах ролевого доступа помимо информации, регламентирующей доступ ролей к объектам (на основе дискреционного или мандатного принципа), необходима информация по ассоциации пользователей-субъектов с ролями. При тематическом доступе необходима информация по тематическим рубрикам пользователей–субъектов и объектов.
Конкретная модель безопасности детализирует и формализует (в виде аналитических соотношений, алгоритмов, и т. д.) общий принцип разграничения доступа на основе одной из рассмотренных политик, а иногда некоторой их совокупности. В конкретной КС разработчики строят и реализуют оригинальные программно–технические решения, воплощающие модели безопасности, в том числе структуру, функции, программно–техническое воплощение монитора безопасности.
Дата добавления: 2020-10-14; просмотров: 780;
Поиск по сайту
Узнать еще
- ОСНОВНЫЕ ТИПЫ И СВОЙСТВА НАПОЛЬНЫХ И БОРТОВЫХ СИСТЕМ ТЕХНИЧЕСКОГО ДИАГНОСТИРОВАНИЯ
- I. ДИСКРЕЦИОННАЯ ФИСКАЛЬНАЯ ПОЛИТИКА
- II. НЕДИСКРЕЦИОННАЯ ФИСКАЛЬНАЯ ПОЛИТИКА. ВСТРОЕННЫЕ СТАБИЛИЗАТОРЫ
- II. Основные положения
- II. Основные характеристики микроскопа.
- II. ЭКОНОМИЧЕСКАЯ ПОЛИТИКА, ее цели и виды. ФИАСКО ГОСУДАРСТВА
- II. Языкознание и его основные разделы.
- II.II. Типы геологических карт
Публикации по технике и механике
Публикации по биологии
Публикации по информатике
Публикации по строительству
Публикации по физике
Публикации по химии
Публикации по электронике
Публикации по искусству
Публикации по истории
