Гарантирование выполнения политики безопасности
Положения субъектно-объектной модели КС, в частности, понятия доступа субъектов к объектам и политики безопасности позволяют сформулировать следующий общий критерий безопасности КС.
Определение 10.10. Компьютерная система безопасна тогда и только тогда, когда субъекты не имеют никаких возможностей нарушать (обходить) установленную в системе политику безопасности.
Субъектом обеспечения политики безопасности выступает монитор безопасности. Его наличие в структуре КС, соответственно, является необходимым условием безопасности. Что касается условий достаточности, то они заключены прежде всего, в безопасности самого монитора безопасности.
Подтверждением данного тезиса является обязательное включение в состав спецификаций по созданию (разработке) и оценке (сертификации) защищенных КС требований корректности, верификации, адекватности и т. д. средств защиты информации (т. е. монитора безопасности) во всех, в том числе и отечественных стандартах и руководящих документах по компьютерной безопасности.
Приведем основные положения данной модели.
Авторами модели, прежде всего, было отмечено влияние на безопасность системы не только доступов (потоков) к объектам, осуществляемых субъектами пользователей, но и того, какого типа субъектами пользователи осуществляют доступ к объектам. К примеру, доступ пользователя к файлу базы данных через СУБД порождает информационный поток одного типа с определенными регламентациями-ограничениями, а доступ к тому же файлу базы данных с помощью дискового редактора – информационный поток другого типа, через который пользователь может получить не предназначенную, вообще говоря, ему информацию. При этом с формальной точки зрения политика безопасности, определяющая правомерность самого факта доступа данного пользователя к файлу базы данных соблюдается и в том и другом случае.
Отсюда следует, что правила разграничения доступа, составляющие основу политики безопасности, должны включать и правила порождения (инициализации) пользователями субъектов доступа.
В технологическом плане выполнение данного требования приводит к необходимости расщепления монитора безопасности на два отдельных субъекта:
- монитор безопасности объектов;
- монитор безопасности субъектов.
Вводятся соответствующие определения.
Определение 10.11. Монитором безопасности объектов (МБО) называется субъект, активизирующийся при возникновении потока между любыми объектами, порождаемого любым субъектом, и разрешающий только те потоки, которые принадлежат множеству РL.
Определение 10.12.Монитором безопасности субъектов (МБС) называется субъект, активизирующийся при любом порождении субъектов, и разрешающий порождение субъектов из фиксированного подмножества пар активизирующих субъектов и объектов–источников.
Определение 10.12., по сути, вводит в состав политики безопасности КС в качестве дополнительной составной части специальную политику порождения пользователями субъектов доступа. Соответственно, как и у любого субъекта, у МБС должен быть объект-источник, функционально-ассоциированный объект (исполняемый код в оперативной памяти) и ассоциированный объект–данные, содержащий необходимую информацию по политике порождения пользователями субъектов доступа в системе – см. рис. 10.3.
Рис. 10.3. Порождение потоков (Stream) и субъектов (Create) с учетом МБО и МБС
Вторым аспектом, подмеченным в плане гарантий выполнения политики безопасности, является неизменность свойств субъектов доступа в процессе функционирования КС. Многие известные атаки на защищенные КС как раз и осуществляются по сценарию подмены кода программ, запускаемых на выполнение регламентированных функций (т. е. фактически подмены свойств субъектов). Данное требование имеет отношение к любым субъектам доступа любых пользователей, но особо для системных субъектов, и, в частности, для монитора безопасности.
Для рассмотрения условий неизменности субъектов, вводятся следующие определения.
Определение 10.13. Объекты оi и oj тождественны в момент времени t(оi [t] = oj [t]), если они совпадают как слова, записанные в одном языке.
Тождественность объектов по определению 10.13.основывается не на физической тождественности, а на тождественности до уровня последовательности символов из алфавита языка представления. Для иллюстрации понятия тождественности приведем пример эквивалентности (тождественности) двух файлов на основе побайтного сравнения, один из которых размещен на диске, другой в оперативной памяти, и находящихся, соответственно, в разной реализации по физическим процессам функционирования носителей (т. е. являющихся физически не тождественными).
Введенное понятие тождественности объектов позволяет перейти к рассмотрению понятия тождественности и неизменности субъектов доступа.
Определение 10.14. Субъекты si и sj тождественны в момент времени t, если попарно тождественны все ассоциированные с ними объекты.
Определения 10.13. и 10.14. неявно требуют наличия в КС специального механизма сортировки однотипных объектов и их попарного сравнения, и, кроме того, обусловливают следующее важное следствие.
Следствие 10.14.1. (из определений 10.13. и 10.14.). Порожденные субъекты тождественны, если тождественны вес порождающие субъекты и объекты–источники.
Обоснованность данного следствия вытекает из тождества функционально–ассоциированных объектов в порождающих субъектах, которые отвечают за порождение нового субъекта, а также из тождественности аргументов операции порождения, т. е. ассоциированных объектов–данных и объектов–источников, которые определяют свойства порождаемых субъектов.
Очевидно, что субъекты, осуществляющие доступ к объектам системы, в том числе и к объектам, ассоциированным с другими субъектами, могут тем самым влиять на них и изменять их свойства. Поэтому вводится следующее определение.
Определение 10.15. Субъекты si и sj называются невлияющими друг на друга (или корректными относительно друг друга), если в любой момент времени отсутствует поток (изменяющий состояние объекта) между любыми объектами oik и ojl , ассоциированными, соответственно с субъектами si и sj. Причем объекты oik не ассоциированы с субъектом sj а объекты ojl не ассоциированы с субъектом si.
Отметим, что термин "изменение состояния объекта" в определении 10.15. трактуется как нетождественность (в смысле определения 10.13.) объекта с самим собой в различные моменты времени.
Анализ понятия ассоциированных с субъектом объектов позволяет ввести еще более жесткое определение по влиянию одних субъектов на других.
Определение 10.16. Субъекты si и sj называются абсолютно не-влияющими друг на друга (или абсолютно корректными относительно друг друга), если в условиях определения 10.15.множества ассоциированных объектов указанных субъектов не имеют пересечения.
На основании данного определения можно сформулировать достаточное условие гарантированного выполнения политики безопасности.
Утверждение 10.1. (достаточное условие гарантий безопасности 1). Монитор безопасности объектов разрешает порождение потоков только из множества РL , если все существующие в системе субъекты абсолютно корректны относительно него и друг друга.
Доказательство. Из условия абсолютной корректности любых субъектов с МБО вытекает отсутствие потоков, которые могут изменить функционально-ассоциированные и ассоциированные объекты-данные с МБО и тем самым изменить его свойства для осуществления обхода (нарушения) политики безопасности. С другой стороны, отсутствуют также потоки между ассоциированными объектами и всех любых других субъектов, и, следовательно, отсутствует возможность изменения одними субъектами свойств других субъектов для возможного нарушения (обхода) политики безопасности. Тем самым утверждение доказано.
Утверждение 10.1. для обеспечения гарантий безопасности накладывает чрезвычайно жесткие условия, практически не выполнимые на практике, или существенно снижающие функциональные возможности КС (отсутствие общих объектов-источников для запуска программ разными пользователями, отсутствие общих участков памяти, буферов для обмена данными и т. п.).
Для исследования подходов, в большей степени возможных при практической реализации, вводятся понятия замкнутости и изолированности подмножества субъектов системы.
Определение 10.17. КС называется замкнутой по порождению субъектов, если в ней действует МБС, разрешающий порождение только фиксированного конечного подмножества субъектов для любых объектов-источников, рассматриваемых для фиксированной декомпозиции КС на субъекты и объекты.
Эквивалентным понятием для замкнутой по порождению субъектов системы является понятие "изолированной программной среды" (ИПС). Механизм замкнутой программной среды сокращает множество возможных субъектов до некоторого множества фиксированной мощности, но при этом не гарантирует отсутствие некорректных субъектов внутри замкнутой среды.
Определение 10.18. Множество субъектов КС называется изолированным (абсолютно изолированным), если в ней действует МБСи субъекты из порождаемого множества корректны (абсолютно корректны) относительно друг друга и МБС.
Из данного определения вытекают следующие следствия.
Следствие 10.18.1. (из определения 10.18.). Любое подмножество субъектов изолированной (абсолютно изолированной) КС, включающее МБС,также составляет изолированную (абсолютно изолированную) среду.
Следствие 10.18.2. (из определения 1.18.). Дополнение изолированной (абсолютно изолированной) среды субъектом, корректным (абсолютно корректным) относительно любого из числа входящих в изолированную (абсолютно изолированную) среду, оставляет ее изолированной (абсолютно изолированной).
На этой основе можно сформулировать другое условие достаточности гарантий выполнения политики безопасности.
Утверждение 10.2. (достаточное условие гарантий безопасности 2). Если в абсолютно изолированной КС существует МБОи порождаемые субъекты абсолютно корректны относительно МБО, а также существует МБС, который абсолютно корректен относительно МБО, то в КС реализуется только доступ, описанный политикой разграничения доступа.
Доказательство. По определению 10.18. и следствиям из него в системе могут существовать только абсолютно корректные относительно МБС и друг друга субъекты из некоторого их конечного множества. Следовательно, отсутствует возможность изменения свойств МБС. Абсолютная корректность МБС и других субъектов по отношению к МБО обеспечивает отсутствие возможностей изменения свойств МБО, что в итоге автоматически обеспечивает разрешение только тех потоков, которые входят в множество PL. Утверждение доказано.
В отличие от первого условия достаточности гарантий выполнения политики безопасности, второе условие менее жестко, так как накладывает условия абсолютной корректности не на все множество возможных субъектов, а лишь на фиксированное их подмножество, образующее замкнутую (изолированную) программную среду (ИПС).
И все же, требование абсолютной корректности, хотя и для фиксированного подмножества субъектов, является также чрезвычайно жестким и трудно выполнимым на практике без существенного снижения функциональных возможностей КС.
Дальнейший анализ подходов к гарантиям безопасности, точнее, к возможностям реализации ИПС, показал необходимость включения требований по неизменности свойств субъектов, основанных на неких дополнительных процедурах, связанных с порождением субъектов.
Определение 10.19. Операция порождения субъектов Create(sk , oт) → si называется порождением с контролем неизменности объекта, если для любого момента времени t>t0, в который активизирована операция порождения объекта Create, порождение объекта si возможно только при тождественности объекта-источника относительно момента t0, т. е. при om [t] = om [t0 ].
Из определения 10.19. вытекает следующее важное следствие, имеющее непосредственное отношению к неизменности свойств субъектов доступа, как важнейшего условия обеспечения политики безопасности в системе.
Следствие 10.19.1. (из определения 10.19.). В условиях определения 10.19. порожденные субъекты sl [t1 ] и sl [t2 ] тождественны, если t1>t0 u t2>t0. При t1=t2 порождается один и тот же объект.
Введение понятия порождения субъектов с контролем неизменности объектов позволяет сформулировать и доказать такое достаточное условие для обеспечения ИПС, которое может быть практически реализовано в реальных КС.
Утверждение 10.3. (базовая теорема НПО). Если в изолированной КС, в которой действует порождение субъектов с контролем неизменности объекта, в момент времени t0 через любой субъект к любому объекту существуют только потоки, не противоречащие условию корректности (абсолютной корректности), то в любой момент времени tk>t0 КС также остается изолированной (абсолютно изолированной).
Доказательство. Условие корректности для потоков в начальный момент t0 времени функционирования системы обеспечивает исходную "правильность" всех объектов-источников для последующего порождения субъектов системы. Исходя из этого, и основываясь на определении 10.19. и следствии 10.19.1. из него, все последующие порождения субъектов будут происходить с неизменностью их свойств, в том числе с сохранением состояния взаимной корректности. Следовательно, в любой момент времени будут соблюдаться требования изолированности КС. Утверждение доказано.
Утверждение 10.3. имеет важнейшее значение с точки зрения достаточных условий для обеспечения гарантий выполнения политики безопасности в защищенных КС. Вместе с тем, при практической реализации условий утверждения 10.3. также возникает несколько серьезных проблем. Одна из них, если так можно выразиться, созвучна с известной проблемой "ахиллесовой пяты". А именно, с исходным состоянием КС, в котором должны быть только потоки, гарантирующие корректность исходных субъектов.
Вторая проблема связана с понижением производительности (быстродействия) КС в связи с осуществлением процедур контроля неизменности объектов-источников при порождении субъектов.
Как уже отмечалось в следствии 10.3.3 из аксиомы 10.3., для управления конкретными параметрами системы разграничения доступа могут (должны) существовать субъекты доверенных пользователей (администраторов), имеющих доступ к ассоциированному с МБО объекту–данным. Однако рассмотренные выше условия гарантий безопасности основываются на понятии корректности (невлияния) относительно МБО и МБСвсех субъектов доступа. Согласно определению 10.15. корректность субъектов обеспечивается их невозможностью изменять состояние всех ассоциированных с другими субъектами объектов, в том числе и объектов-данных, ассоциированных с МБО,содержащих конкретную информацию по политике разграничения доступа. Следовательно, полная и строгая реализация условий ИПС из-за невозможности впоследствии изменять ассоциированные с МБО объекты потребует изначального встраивания в систему конкретных параметров разграничения доступа (по конкретным и, соответственно, изначально зарегистрированным в системе пользователям, и конкретным, изначально созданным в системе объектам доступа), что лишает такую систему какой-либо универсальности и гибкости.
Выводы
Теоретическая значимость рассмотренных моделей несомненна, так как они создают инвариантную основу по отношению к любым политикам и моделям разграничения доступа в защищенных КС.
Вопросы для самоконтроля
1. Как связаны методы защиты информации со свойствами защищенности? Выполнение каких свойств обеспечивает система разграничения доступа.
2. Дайте определение субъекта доступа, объекта доступа и пользователя с точки зрения субъектно-объектной модели.
3. Какие объекты называют функционально-ассоциированными?
4. Перечислите требования к монитору безопасности.
5. Дайте определение безопасной компьютерной системы с точки зрения политики безопасности.
6. Дайте определение монитора безопасности объектов и монитора безопасности субъектов.
7. Какая компьютерная система называется замкнутой по порождению субъектов?
8. Сформулируйте базовую теорему НПО.
Дата добавления: 2020-10-14; просмотров: 563;