Гарантирование выполнения политики безопасности

Положения субъектно-объектной модели КС, в частности, понятия доступа субъектов к объектам и политики безопасности позволяют сформулировать следующий общий критерий безопасности КС.

Определение 10.10. Компьютерная система безопасна тогда и только тогда, когда субъекты не имеют никаких возможностей нарушать (обходить) установленную в системе политику безопасности.

Субъектом обеспечения политики безопасности выступает монитор безопасности. Его наличие в структуре КС, соответственно, является необходимым условием безопасности. Что касается условий достаточности, то они заключены прежде всего, в безопасности самого монитора безопасности.

Подтверждением данного тезиса является обязательное включение в состав спецификаций по созданию (разработке) и оценке (сертификации) защищенных КС требований корректности, верификации, адекватности и т. д. средств защиты информации (т. е. монитора безопасности) во всех, в том числе и отечественных стандартах и руководящих документах по компьютерной безопасности.

Приведем основные положения данной модели.

Авторами модели, прежде всего, было отмечено влияние на безопасность системы не только доступов (потоков) к объектам, осуществляемых субъектами пользователей, но и того, какого типа субъектами пользователи осуществляют доступ к объектам. К примеру, доступ пользователя к файлу базы данных через СУБД порождает информационный поток одного типа с определенными регламентациями-ограничениями, а доступ к тому же файлу базы данных с помощью дискового редактора – информационный поток другого типа, через который пользователь может получить не предназначенную, вообще говоря, ему информацию. При этом с формальной точки зрения политика безопасности, определяющая правомерность самого факта доступа данного пользователя к файлу базы данных соблюдается и в том и другом случае.

Отсюда следует, что правила разграничения доступа, составляющие основу политики безопасности, должны включать и правила порождения (инициализации) пользователями субъектов доступа.

В технологическом плане выполнение данного требования приводит к необходимости расщепления монитора безопасности на два отдельных субъекта:

- монитор безопасности объектов;

- монитор безопасности субъектов.

Вводятся соответствующие определения.

Определение 10.11. Монитором безопасности объектов (МБО) называется субъект, активизирующийся при возникновении потока между любыми объектами, порождаемого любым субъектом, и разрешающий только те потоки, которые принадлежат множеству Р_L.

Определение 10.12.Монитором безопасности субъектов (МБС) называется субъект, активизирующийся при любом порождении субъектов, и разрешающий порождение субъектов из фиксированного подмножества пар активизирующих субъектов и объектов–источников.

Определение 10.12., по сути, вводит в состав политики безопасности КС в качестве дополнительной составной части специальную политику порождения пользователями субъектов доступа. Соответственно, как и у любого субъекта, у МБС должен быть объект-источник, функционально-ассоциированный объект (исполняемый код в оперативной памяти) и ассоциированный объект–данные, содержащий необходимую информацию по политике порождения пользователями субъектов доступа в системе – см. рис. 10.3.

Рис. 10.3. Порождение потоков (Stream) и субъектов (Create) с учетом МБО и МБС

Вторым аспектом, подмеченным в плане гарантий выполнения политики безопасности, является неизменность свойств субъектов доступа в процессе функционирования КС. Многие известные атаки на защищенные КС как раз и осуществляются по сценарию подмены кода программ, запускаемых на выполнение регламентированных функций (т. е. фактически подмены свойств субъектов). Данное требование имеет отношение к любым субъектам доступа любых пользователей, но особо для системных субъектов, и, в частности, для монитора безопасности.

Для рассмотрения условий неизменности субъектов, вво­дятся следующие определения.

Определение 10.13. Объекты о_i и o_j тождественны в момент времени t(о_i [t] = o_j [t]), если они совпадают как слова, записан­ные в одном языке.

Тождественность объектов по определению 10.13.основыва­ется не на физической тождественности, а на тождественности до уровня последовательности символов из алфавита языка пред­ставления. Для иллюстрации понятия тождественности приведем пример эквивалентности (тождественности) двух файлов на ос­нове побайтного сравнения, один из которых размещен на диске, другой в оперативной памяти, и находящихся, соответственно, в разной реализации по физическим процессам функционирования носителей (т. е. являющихся физически не тождественными).

Введенное понятие тождественности объектов позволяет перейти к рассмотрению понятия тождественности и неизменно­сти субъектов доступа.

Определение 10.14. Субъекты s_i и s_j тождественны в момент времени t, если попарно тождественны все ассоциированные с ними объекты.

Определения 10.13. и 10.14. неявно требуют наличия в КС спе­циального механизма сортировки однотипных объектов и их по­парного сравнения, и, кроме того, обусловливают следующее важное следствие.

Следствие 10.14.1. (из определений 10.13. и 10.14.). Порожденные субъекты тождественны, если тождественны вес порож­дающие субъекты и объекты–источники.

Обоснованность данного следствия вытекает из тождества функционально–ассоциированных объектов в порождающих субъектах, которые отвечают за порождение нового субъекта, а также из тождественности аргументов операции порождения, т. е. ассоциированных объектов–данных и объектов–источников, которые определяют свойства порождаемых субъектов.

Очевидно, что субъекты, осуществляющие доступ к объек­там системы, в том числе и к объектам, ассоциированным с дру­гими субъектами, могут тем самым влиять на них и изменять их свойства. Поэтому вводится следующее определение.

Определение 10.15. Субъекты s_i и s_j называются невлияющими друг на друга (или корректными относительно друг друга), ес­ли в любой момент времени отсутствует поток (изменяющий состояние объекта) между любыми объектами o_ik и o_jl , ассо­циированными, соответственно с субъектами s_i и s_j. Причем объекты o_ik не ассоциированы с субъектом s_j а объекты o_jl не ассоциированы с субъектом s_i.

Отметим, что термин "изменение состояния объекта" в опре­делении 10.15. трактуется как нетождественность (в смысле опре­деления 10.13.) объекта с самим собой в различные моменты вре­мени.

Анализ понятия ассоциированных с субъектом объектов по­зволяет ввести еще более жесткое определение по влиянию одних субъектов на других.

Определение 10.16. Субъекты s_i и s_j называются абсолютно не-влияющими друг на друга (или абсолютно корректными отно­сительно друг друга), если в условиях определения 10.15.множе­ства ассоциированных объектов указанных субъектов не имеют пересечения.

На основании данного определения можно сформулировать достаточное условие гарантированного выполнения политики безопасности.

Утверждение 10.1. (достаточное условие гарантий безопасно­сти 1). Монитор безопасности объектов разрешает порождение потоков только из множества Р_L , если все существую­щие в системе субъекты абсолютно корректны относи­тельно него и друг друга.

Доказательство. Из условия абсолютной корректности лю­бых субъектов с МБО вытекает отсутствие потоков, которые мо­гут изменить функционально-ассоциированные и ассоциирован­ные объекты-данные с МБО и тем самым изменить его свойства для осуществления обхода (нарушения) политики безопасности. С другой стороны, отсутствуют также потоки между ассоцииро­ванными объектами и всех любых других субъектов, и, следова­тельно, отсутствует возможность изменения одними субъектами свойств других субъектов для возможного нарушения (обхода) политики безопасности. Тем самым утверждение доказано.

Утверждение 10.1. для обеспечения гарантий безопасности накладывает чрезвычайно жесткие условия, практически не выполнимые на практике, или существенно снижающие функциональные возможности КС (отсутствие общих объектов-источников для запуска программ разными пользователями, отсутствие общих участков памяти, буферов для обмена данными и т. п.).

Для исследования подходов, в большей степени возможных при практической реализации, вводятся понятия замкнутости и изолированности подмножества субъектов системы.

Определение 10.17. КС называется замкнутой по порождению субъектов, если в ней действует МБС, разрешающий порождение только фиксированного конечного подмножества субъектов для любых объектов-источников, рассматриваемых для фиксированной декомпозиции КС на субъекты и объекты.

Эквивалентным понятием для замкнутой по порождению субъектов системы является понятие "изолированной программной среды" (ИПС). Механизм замкнутой программной среды сокращает множество возможных субъектов до некоторого множества фиксированной мощности, но при этом не гарантирует отсутствие некорректных субъектов внутри замкнутой среды.

Определение 10.18. Множество субъектов КС называется изолированным (абсолютно изолированным), если в ней действует МБСи субъекты из порождаемого множества корректны (абсолютно корректны) относительно друг друга и МБС.

Из данного определения вытекают следующие следствия.

Следствие 10.18.1. (из определения 10.18.). Любое подмножество субъектов изолированной (абсолютно изолированной) КС, включающее МБС,также составляет изолированную (абсолютно изолированную) среду.

Следствие 10.18.2. (из определения 1.18.). Дополнение изолированной (абсолютно изолированной) среды субъектом, корректным (абсолютно корректным) относительно любого из числа входящих в изолированную (абсолютно изолированную) среду, оставляет ее изолированной (абсолютно изолированной).

На этой основе можно сформулировать другое условие достаточности гарантий выполнения политики безопасности.

Утверждение 10.2. (достаточное условие гарантий безопасности 2). Если в абсолютно изолированной КС существует МБОи порождаемые субъекты абсолютно корректны относительно МБО, а также существует МБС, который абсолютно корректен относительно МБО, то в КС реализуется только доступ, описанный политикой разграничения доступа.

Доказательство. По определению 10.18. и следствиям из него в системе могут существовать только абсолютно корректные относительно МБС и друг друга субъекты из некоторого их конечного множества. Следовательно, отсутствует возможность изменения свойств МБС. Абсолютная корректность МБС и других субъектов по отношению к МБО обеспечивает отсутствие возможностей изменения свойств МБО, что в итоге автоматически обеспечивает разрешение только тех потоков, которые входят в множество P_L. Утверждение доказано.

В отличие от первого условия достаточности гарантий выполнения политики безопасности, второе условие менее жестко, так как накладывает условия абсолютной корректности не на все множество возможных субъектов, а лишь на фиксированное их подмножество, образующее замкнутую (изолированную) программную среду (ИПС).

И все же, требование абсолютной корректности, хотя и для фиксированного подмножества субъектов, является также чрезвычайно жестким и трудно выполнимым на практике без существенного снижения функциональных возможностей КС.

Дальнейший анализ подходов к гарантиям безопасности, точнее, к возможностям реализации ИПС, показал необходимость включения требований по неизменности свойств субъектов, основанных на неких дополнительных процедурах, связанных с порождением субъектов.

Определение 10.19. Операция порождения субъектов Create(s_k , o_т) → s_i называется порождением с контролем неизменности объекта, если для любого момента времени t>t₀, в который активизирована операция порождения объекта Create, порождение объекта s_i возможно только при тождественности объекта-источника относительно момента t₀, т. е. при o_m [t] = o_m [t₀ ].

Из определения 10.19. вытекает следующее важное следствие, имеющее непосредственное отношению к неизменности свойств субъектов доступа, как важнейшего условия обеспечения политики безопасности в системе.

Следствие 10.19.1. (из определения 10.19.). В условиях определения 10.19. порожденные субъекты s_l [t₁ ] и s_l [t₂ ] тождественны, если t₁>t₀ u t₂>t₀. При t₁=t₂ порождается один и тот же объект.

Введение понятия порождения субъектов с контролем неизменности объектов позволяет сформулировать и доказать такое достаточное условие для обеспечения ИПС, которое может быть практически реализовано в реальных КС.

Утверждение 10.3. (базовая теорема НПО). Если в изолированной КС, в которой действует порождение субъектов с контролем неизменности объекта, в момент времени t₀ через любой субъект к любому объекту существуют только потоки, не противоречащие условию корректности (абсолютной корректно­сти), то в любой момент времени t_k>t₀ КС также остается изолированной (абсолютно изолированной).

Доказательство. Условие корректности для потоков в начальный момент t₀ времени функционирования системы обеспечивает исходную "правильность" всех объектов-источников для последующего порождения субъектов системы. Исходя из этого, и основываясь на определении 10.19. и следствии 10.19.1. из него, все последующие порождения субъектов будут происходить с неизменностью их свойств, в том числе с сохранением состояния взаимной корректности. Следовательно, в любой момент времени будут соблюдаться требования изолированности КС. Утверждение доказано.

Утверждение 10.3. имеет важнейшее значение с точки зрения достаточных условий для обеспечения гарантий выполнения политики безопасности в защищенных КС. Вместе с тем, при практической реализации условий утверждения 10.3. также возникает несколько серьезных проблем. Одна из них, если так можно вы­разиться, созвучна с известной проблемой "ахиллесовой пяты". А именно, с исходным состоянием КС, в котором должны быть только потоки, гарантирующие корректность исходных субъектов.

Вторая проблема связана с понижением производительности (быстродействия) КС в связи с осуществлением процедур контроля неизменности объектов-источников при порождении субъектов.

Как уже отмечалось в следствии 10.3.3 из аксиомы 10.3., для управления конкретными параметрами системы разграничения доступа могут (должны) существовать субъекты доверенных пользователей (администраторов), имеющих доступ к ассоциированному с МБО объекту–данным. Однако рассмотренные выше условия гарантий безопасности основываются на понятии корректности (невлияния) относительно МБО и МБСвсех субъектов доступа. Согласно определению 10.15. корректность субъектов обеспечивается их невозможностью изменять состояние всех ассоциированных с другими субъектами объектов, в том числе и объектов-данных, ассоциированных с МБО,содержащих конкретную информацию по политике разграничения доступа. Следовательно, полная и строгая реализация условий ИПС из-за невозможности впоследствии изменять ассоциированные с МБО объекты потребует изначального встраивания в систему конкретных параметров разграничения доступа (по конкретным и, соответственно, изначально зарегистрированным в системе пользователям, и конкретным, изначально созданным в системе объектам доступа), что лишает такую систему какой-либо универсальности и гибкости.

Выводы

Теоретическая значимость рассмотренных моделей несомненна, так как они создают инвариантную основу по отношению к любым политикам и моделям разграничения доступа в защищенных КС.

Вопросы для самоконтроля

1. Как связаны методы защиты информации со свойствами защищенности? Выполнение каких свойств обеспечивает система разграничения доступа.

2. Дайте определение субъекта доступа, объекта доступа и пользователя с точки зрения субъектно-объектной модели.

3. Какие объекты называют функционально-ассоциированными?

4. Перечислите требования к монитору безопасности.

5. Дайте определение безопасной компьютерной системы с точки зрения политики безопасности.

6. Дайте определение монитора безопасности объектов и монитора безопасности субъектов.

7. Какая компьютерная система называется замкнутой по порождению субъектов?

8. Сформулируйте базовую теорему НПО.