Компьютерная безопасность |
Информационная безопасность
Скачать презентацию |
||
<< Безопасность информации | Компьютерные преступления >> |
Автор: Гайдамакин Н.А.. Чтобы познакомиться с картинкой полного размера, нажмите на её эскиз. Чтобы можно было использовать все картинки для урока информатики, скачайте бесплатно презентацию «Компьютерная безопасность.ppt» со всеми картинками в zip-архиве размером 7883 КБ.
Скачать презентациюСл | Текст | Сл | Текст |
1 | Теоретические основы компьютерной безопасности. ФЕДЕРАЛЬНОЕ | 150 | множество несовместимых с ней ролей. Другие разновидности |
АГЕНТСТВО ПО ОБРАЗОВАНИЮ ГОУ ВПО «Уральский государственный | организации ролей. Т.Н.Статическое разделение обязанностей. | ||
университет им. А.М.Горького» ИОНЦ «Информационная безопасность» | Ограничения на одновременное использование ролей в одном сеансе | ||
Курс общепрофессиональных дисциплин Учебная дисциплина: | - множество ролей разбивается на подмножества, несовместимых | ||
Специальность обучения: «Компьютерная безопасность», 5 курс. ? | ролей(z.b. "администратор"-"аудитор"). В | ||
Гайдамакин Н.А., 2008 г. Презентация предназначена для отработки | ходе одного сеанса пользователь может активизировать из каждого | ||
и закрепления лекционного материала студентами группы КБ МатМех | подмножества не более одной роли. Т.Н.Динамическое разделение | ||
УрГУ. Распространение и передача презентации третьим лицам | обязанностей. Количественные ограничения по назначению ролей | ||
запрещается. | одному пользователю. Групповое назначение ролей одному | ||
2 | Содержание. Лекция 1.1 Содержание и основные понятия | пользователю - роль м.б. назначена тогда, когда одновременно | |
компьютерной безопасности. Лекция 1.2 Угрозы безопасности в | назначена еще группа обязательных для данной роли других ролей. | ||
компьютерных системах. Лекция 1.3 Политика и модели безопасности | 1. Модели ролевого доступа. | ||
в компьютерных системах. Лекция 2.1 Модели безопасности на | 151 | 151. Рабочая группа в отличие от роли не является | |
основе дискреционной политики Лекция 2.2 Модели безопасности на | самостоятельным субъектом доступа. 2. Модели | ||
основе мандатной политики Лекция 2.3 Модели безопасности на | индивидуально-группового доступа. 1. КС представляется | ||
основе тематической политики Лекция 2.4 Модели безопасности на | совокупностью следующих наборов сущностей: множества объектов | ||
основе ролевой политики Лекция 2.5 Автоматные и | доступа O (o1, o2,…, oM ) ; множества пользователей U (u1, u2,…, | ||
теоретико-вероятностные модели невлияния и невыводимости Лекция | uN ); множества рабочих групп пользователей G (g1, g2,…, gK ); | ||
2.6 Модели и технологии обеспечения целостности данных Лекция | множества прав доступа и привилегий R (r1, r2,…, rJ ) ; матрицей | ||
2.7 Методы и технологии обеспечения доступности (сохранности) | доступа A размерностью ((N +K) x M), каждая ячейка которой | ||
данных. | специфицирует права доступа и привилегии пользователей или их | ||
3 | Содержание. Лекция 2.8 Политика и модели безопасности в | рабочих групп к объектам из конечного набора прав доступа и | |
распределенных КС Лекция 3.1 Методы, критерии и шкалы оценки | привилегий R (r1, r2,…, rJ ), т. е. A[u, o] ? R , A[g, o] ? R. | ||
защищенности (безопасности) Лекция 3.2 Теоретико-графовые модели | Определение. Рабочей группой называется совокупность | ||
комплексной оценки защищенности КС Лекция 3.3 Методы анализа и | пользователей, объединенных едиными правами доступа к объектам и | ||
оптимизации индивидуально-групповых систем разграничения | (или) едиными привилегиями (полномочиями) выполнения | ||
доступа. | определенных процедур обработки данных. | ||
4 | 4. Общая характеристика специальности 075200 «Компьютерная | 152 | 152. 2. Групповые отношения в системе устанавливаются |
безопасность». Квалификация – математик Квалификационная хар-ка | отображением множества пользователей на множество рабочих групп: | ||
выпускника: Область науки и техники, охватывающая совокупность | FUG : U x G – такое, что одна рабочая группа объединяет | ||
проблем, связанных с построением и доказательным анализом | нескольких пользователей, а один пользователь может входить в | ||
качества защищенных компьютерных систем Объекты проф. деят-ти – | несколько рабочих групп. fgroups: U? G – значением функции | ||
защищенные компьютерные системы и средства обработки, хранения и | fgroups(u) = G является набор рабочих групп G = {gu1, gu2,…} ? G | ||
передачи информации; службы защиты информации; математические | , в которые пользователь u включен по отображению FUG ; fusers: | ||
модели процессов, возникающих при защите информации Виды | G ? U – значением функции U = fusers(g) является набор | ||
профессиональной деятельности: производственно-технологическая; | пользователей U = {ug1, ug2,…} ? U, которые рабочая группа g | ||
организационно-управленческая; | включает по отношению FUG . Отношение «Пользователи-группы» - | ||
экспериментально-исследовательская: разработка и исследование | «многие-ко-многим». 2. Модели индивидуально-группового доступа. | ||
специальных технических и программно- аппаратных средств защиты | 153 | 153. 3. Управление индивидуально-групповым доступом в | |
информации в КС; разработка математических моделей безопасности | системе осуществляется на основе следующего правила (критерия | ||
КС; подбор, изучение и обобщение н/т литературы, нормативных и | безопасности) индивидуально-группового доступа. Критерий | ||
методических документов по программно-аппаратным средствам и | безопасности индивидуально-группового доступа: Система | ||
способам обеспечения ИБ КС составление информационных обзоров по | функционирует безопасно, если и только если любой пользователь | ||
вопросам компьютерной безопасности изучение и анализ | u?U по отношению к любому объекту o?O может осуществлять доступ | ||
информационной безопасности современных информационных | с правами R , не выходящими за пределы совокупности | ||
технологий. | индивидуальных прав A[u,o] и прав рабочих групп A[gui,o], в | ||
5 | 5. ОПД ГОС 075200 «Компьютерная безопасность». ОПД.Ф.01 | которые пользователь входит по отношению FUG : R ? {A[u,o] ? | |
«Аппаратные средства вычислительной техники» ОПД.Ф.02 «Методы | A[gu1, o] ? A[gu2, o] ?…}, где { gu1, gu2,…} = fgroups(u). | ||
программирования» ОПД.Ф.03 «Языки программирования» ОПД.Ф.04 | Разделение процесса функционирования на КС не является | ||
«Операционные системы» ОПД.Ф.05 «Вычислительные сети» ОПД.Ф.06 | существенным, поскольку пользователь всегда получает полномочия | ||
«Системы управления базами данных» ОПД.Ф.07 «Электроника и | всех групп, в которые входит. 2. Модели индивидуально-группового | ||
системотехника» ОПД.Ф.08 «Системы и сети передачи информации» | доступа. | ||
ОПД.Ф.09 «Основы информационной безопасности» ОПД.Ф.10 | 154 | 154. 4. Членами рабочих групп могут быть коллективные члены, | |
«Теоретические основы компьютерной безопасности» ОПД.Ф.11 | т.е. другие рабочие группы. Вхождение одних групп в другие д.б. | ||
«Организационно-правовое обеспечение информационной | транзитивно, антисимметрично и рефлексивно: FGG : G x G - | ||
безопасности» ОПД.Ф.12 «Технические средства и методы защиты | отношение частичного порядка, определяющее иерархию | ||
информации» ОПД.Ф.13 «Криптографические методы защиты | (вложенность) рабочих групп и задающее оператор доминирования ? | ||
информации» ОПД.Ф.14 «Программно-аппаратные средства обеспечения | такое, что если для g1, g2 ? G, g1 ? g2, то g1 включает g2 . f | ||
информационной безопасности» Защита программ и данных Защита в | hgroups: G ? G – значением функции fgroups(g) является набор | ||
операционных системах Защита в сетях Защита в СУБД ОПД.Ф.15 | рабочих групп {gg1, gg2,…} ? G , в которые рабочая группа g | ||
«Основы управленческой деятельности» ОПД.Ф.16 «Безопасность | включена по отношению FGG . Rg = a[g,o] +a[gg1,o] + a[gg2,o] + … | ||
жизнедеятельности». | , где {gg1, gg2,…}= fgroups(g). 2. Модели | ||
6 | Программа курса. 6. 1. Исходные положения теории | индивидуально-группового доступа. Наследование прав по групповой | |
компьютерной безопасности. 1.1. Содержание и основные понятия | иерархии происходит «сверху-вниз». | ||
компьютерной безопасности (история ТКБ, основные направления | 155 | 155. 5. На графе вхождения одних групп в другие не должно | |
обеспечения КБ, информация как объект защиты, | быть циклов. 2. Модели индивидуально-группового доступа. | ||
конфиденциальность, целостность и доступность информации) 1.2. | 156 | 156. Определения MMS-модели (формализация системы защиты). | |
Угрозы безопасности в КС (классификация и аксонометрия угроз | Классификация- обозначение, накладываемое на информацию, | ||
безопасности информации в КС, оценивание угроз) 1.3. Политика и | отражающее ущерб, который м.б. причинен неавторизованным | ||
модели безопасности в КС (монитор безопасности и основ-ные типы | доступом (TOP SECRET, SECRET, + возможно дополн. функц. разгр. - | ||
политик безопасности в КС, изолированная программная среда). 2. | CRYPTO, NUCLEAR и т.п.). Степень доверия пользователю- уровень | ||
Модели безопасности компьютерных систем. 2.1. Модели | благонадежности персоны (иначе допуск пользователя) - априорно | ||
разграничения доступа (дискреционные модели - модели на основе | заданная характеристика. Пользовательский идентификатор- строка | ||
матрицы доступа; модели распространения прав доступа - модель | символов, используемая для того, чтобы отметить пользователя в | ||
Харрисона-Руззо-Ульмана, теоретико-графовая модель TAKE-GRANT; | системе. Для использова- ния системы пользователь д. предъявить | ||
мандатные модели – модель Белла-ЛаПадуллы и ее расширения, | ей идентификатор, система должна провести аутентификацию | ||
модель тематического разграничения доступа на основе | пользователя (login). Пользователь- персона, уполномоченная для | ||
иерархических рубрикаторов; теоретико-информационные модели – | использования системы. Роль - работа, исполняемая пользователем. | ||
модель информационного невмешательства, модель информационной | Пользователь в любой момент времени (после login до logon) | ||
невыводимости, модели ролевого доступа) 2.2. Модели и технологии | всегда ассоциирован как минимум с одной ролью из нескольких. Для | ||
обеспечения целостности компьютерной информации | действий в данной роли пользователь д.б. уполномочен. Некоторые | ||
(субъектно-объектные модели – дискреционная модель Биба, | роли в конкр. момент времени м.б. связаны только с одним | ||
мандатная модель Кларка-Вильсона; технологии ЭЦП, технологии | пользователем. С любой ролью связана способность выполнения | ||
обеспе-чения целостности мониторами транзакций в | определенных операций. Объект- одноуровневый блок информации. | ||
клиент-серверных СУБД) 2.3. Модели и механизмы обеспечения | Это минимальный блок информации в системе, который м. иметь | ||
правомерной доступности (сохранности) компьютерной информации | классификацию, т.е. м.б. раздельно от других поименован. Объект | ||
(резервирование и журнализация данных, модели и технологии | не содержит других объектов (т.е. он не многоуровневый). 3. MMS | ||
репликации данных) 2.4. Модели безопасности распределенных КС | (military message system)-модель. Лендвер, МакЛин, 1984г. | ||
(модель Варахараджана, зональная модель безопасности). | 157 | 157. Определения MMS-модели (продолжение). Контейнер- | |
7 | Программа курса. 7. 3. Методы, анализа и оценки защищенности | многоуровневая информационная структура. Имеет класси- фикацию и | |
компьютерных систем. 3.1. Методы, критерии и шкалы оценки | м. содержать объекты (со своей классификацией) и др. контейнеры | ||
защищенности КС (порядковые, ранговые, интервальные шкалы | (также со своей классификацией). Сущность- объект или контейнер. | ||
измерений; содержание объекта оценки и способы оценки) 3.3. | Требование степени доверия объектов- атрибут некоторых контей- | ||
Теоретико-графовые модели комплексной оценки защищенности КС | неров. Для некоторых контейнеров важно требовать минимум сте- | ||
(модель системы с полным перекрытием, модель Клементса, | пени доверия, т.е. пользователь, не имеющий соответствующего | ||
гиперграфовая модель) 3.3. Теоретико-графовая модель анализа | уровня благонадежности, не может просматривать содержимое | ||
системы индивидуально-группового доступа к иерархически | контейнера. Такие контейнеры помечаются соотв. атрибутом. | ||
организованным информационным ресурсам. | Идентификатор (ID)- имя сущности без ссылки на другие сущности. | ||
8 | Литература по курсу. 8. 1. Хоффман Л. Современные методы | Ссылка на сущность прямая- если это идентификатор сущности. | |
защиты информации. М.:Сов.радио, 1980. – 264с. 2. Грушо | Ссылка на сущность косвенная- если это последовательность двух и | ||
А.А.,Тимонина Е.Е. Теоретические основы защиты информации. | более идентификаторов (имен) сущностей, первая из которых - | ||
М.:Яхтсмен, 1996. - 192с. 3. Теория и практика обеспечения | контейнер. Операция- функция, которая м.б. применена к сущности | ||
информационной безопасности / Под ред. П.Д. Зегжды. М.:Яхтсмен, | (читать, модифицировать и т.д.). Некоторые операции м. | ||
1996. - 302с 4. Прокопьев И.В., Шрамков И.Г., Щербаков А.Ю. | использовать более одной сущности (z.b. Copy). Множество | ||
Введение в теоретические основы компьютерной безопасности : Уч. | доступа- множество троек (Пользовательский идентификатор или | ||
пособие. М., 1998.- 184с. 5. Зегжда Д.П.,Ивашко А.М. Основы | роль - Операция - Индекс операнда), которое связано с сущностью | ||
безопасности информационных систем. - М.:Горячая линия - | (т.е. дескрипторы доступа объекта). 3. MMS (military message | ||
Телеком, 2000. - 452с. 6. Теоретические основы компьютерной | system)-модель. | ||
безопасности: Учеб. пособие для вузов / П.Н. Девянин, | 158 | 158. Основная схема функционирования системы -пользователи | |
О.О.Михальский, Д.И.Правиков и др.- М.: Радио и Связь, 2000. - | после идентификации запрашивают у системы операции над | ||
192с. 8. Щербаков А.Ю. Введение в теорию и практику компьютерной | сущностями от своего ID или от имени Роли, с которой в данный | ||
безопасности. М.: издатель Молгачев С.В.- 2001- 352 с. | момент авторизованы. Система функционирует безопасно, если | ||
9.Гайдамакин Н.А. Разграничение доступа к информации в | -пользователи ведут себя корректно (не компрометируют систему) | ||
компью-терных системах. - Екатеринбург: изд-во Урал. Ун-та, | на основе некоторых предположений - система защиты (монитор | ||
2003. – 328 с. 10. Корт С.С. Теоретические основы защиты | безопасности) реализует определенные ограничения политики | ||
информации: Учебное пособие. – М.: Гелиос АРВ, 2004. – 240 с. | безопасности). Предположения MMS-модели,которым д. следовать | ||
11.Девянин П.Н. Модели безопасности компьютерных систем: Учеб. | пользователи системы. А1. Администратор безопасности корректно | ||
пособие. – М.: Изд.центр «Академия», 2005. – 144 с. | присваивает уровни доверия, классификацию устройств и правильные | ||
9 | Лекция 1.1. Содержание и основные понятия компьютерной | множества ролей. А2. Пользователь определяет корректную | |
безопасности. 9. Тема 1. Основы теории компьютерной | классификацию, когда вводит, изменяет, объединяет или | ||
безопасности. ГОС 075200 «Компьютерная безопасность». ? | переклассифицирует информацию. А3. В пределах установленной | ||
Гайдамакин Н.А., 2008г. ОПД.Ф.10 «Теоретические основы | классификации пользователь классифицирует сообщения (информацию) | ||
компьютерной безопасности». | и определяет набор (множество) доступа (роли,операции,требуемые | ||
10 | 1.История развития теории и практики обеспечения | степени доверия) для сущностей, которые он создает. А4. | |
компьютерной безопасности 2.Содержание и структура понятия | Пользователь должным образом контролирует информацию объектов, | ||
компьютерной безопасности 3.Общая характеристика принципов, | требующих благонадежности. 3. MMS (military message | ||
методов и механизмов обеспечения компьютерной безопасности. | system)-модель. | ||
Учебные вопросы: 10. | 159 | 159. Ограничения безопасности в MMS-модели. В1. Авторизация | |
11 | 11. Защита информации – проблема с древнейших времен. | - пользователь м. запрашивать операции над сущнос- тями, если | |
Специфика компьютерной формы информации: в результате – КС и ИБ | только пользовательский идентификатор или его теку- щая роль | ||
– неотделимые понятия. Защита (обеспечение) безопасности | присутствуют в множестве доступа сущностей вместе с этой | ||
информации – не просто вспомогательная, но одна из главных | операцией и с этим значением индекса, соответствующим по- зиции | ||
(основных) функций КС при их создании и эксплуатации. 1. История | операнда,в которой сущность относят в требуемой операции. В2. | ||
развития теории и практики обеспечения компьютерной | Классификационная иерархия - классификация контейнера всегда | ||
безопасности. Возможность получения доступа к большим объемам | больше или равна классификации сущностей, которые он содержит. | ||
информации в локальном физическом сосредоточении возможность | В3. Изменения в объектах - информация, переносимая из объекта | ||
быстрого или мгновенного копирование огромных объемов информации | всегда содержит классификацию объекта. Информация, вставляемая в | ||
и, как правило, без следов возможность быстрого или мгновенного | объект, должна иметь классификацию ниже классификации этого | ||
разрушения или искажения огромных объемов информации. | объекта (аналог NWD). В4. Просмотр - пользователь может | ||
Провоцирует на посягательство. | просматривать (на некотором устройстве вывода) только сущности с | ||
12 | 12. Основные этапы развития теории и практики КБ: 1. История | классификацией меньше, чем классификация устройства вывода и | |
развития теории и практики обеспечения компьютерной | степень доверия контей- нера-устройства к пользователям (аналог | ||
безопасности. | NRU + NRUустроств). В5. Доступ к объектам, требующим степени | ||
13 | 13. Основные этапы развития теории и практики КБ: 1. История | доверия - пользователь может получить доступ к косвенно | |
развития теории и практики обеспечения компьютерной | адресованной сущности внутри контейнера, требующего степени | ||
безопасности. | доверия, если только его степень доверия не ниже классификации | ||
14 | 14. Основные этапы развития теории и практики КБ: 1. История | контейнера. В6. Преобразование косвенных ссылок - | |
развития теории и практики обеспечения компьютерной | пользовательский индикатор признается законным для сущности, к | ||
безопасности. В.А.Герасименко - 1991г., модель | которой он обратился косвенно, если только он авторизован для | ||
системно-концептуального подхода к безопасности Грушо А.А., | просмотра этой сущности через ссылку. 3. MMS (military message | ||
Тимонина Е.Е. – 1996г., гарантированность защи-щенности АС как | system)-модель. | ||
математическое доказательство гаранти-рованного выполнения | 160 | 160. Модель Лендвера-Маклина (MMS) сочетает принципы: | |
априорно заданной политики без-ти Расторгуев С.П., начало 90-х | ролевого, дискреционного и мандатного принципов и оказывает | ||
г.г. - теория разрушающих программных воздействий, середина 90-х | сильное влияние на модели и технологии современных защищенных | ||
г.г. - теория информационного противоборства Щербаков А.Ю. – | КС. Ограничения безопасности в MMS-модели (продолжение). В7. | ||
90-е г.г., субъектно-объектная модель изолированной программной | Требование меток - сущности, просмотренные пользователем, д.б. | ||
среды СПб школа Зегжды П.Д. – середина 90-х г.г., таксонометрия | помечены его степенью доверия (т.е. впоследствии они ему | ||
изъянов безопасности КС Школа ИКСИ (Б.А.Погорелов, | доверяют). В8. Установка степеней доверия, ролей, классификация | ||
А.П.Коваленко) – конец 90-х г.г., государственные | устройств - только пользователь с ролью администратора | ||
образовательные стандарты подготов-ки специалистов в сфере | безопасности системы м. устанавливать данные значения. Текущее | ||
компьютерной безопасности. Отечественная школа КБ. | множество ролей пользователя м.б. изменено только | ||
15 | 15. Методологическая база - понятие безопасности (з-н | администратором безопасности системы или самим же этим | |
"О безопасности", 1993г.). Иерархия понятий: | пользователем. В9. Понижение классификации информации - никакая | ||
Информационная безопасность РФ - состояние защищенности ее (РФ) | классифици-рованная информация не м.б. понижена в уровне своей | ||
национальных интересов в информационной сфере, определяющихся | классификации, за исключением случая, когда эту операцию | ||
совокупностью сбалансированных интересов личности, общества и | выполняет пользователь с ролью "Пользователь, уменьшающий | ||
государства (Доктрина ИБ РФ). 2. Содержание и структура понятия | классификацию информации" В10. Уничтожение - операция | ||
компьютерной безопасности. Безопасность. Информационная | уничтожения информации проводится только пользователем с ролью | ||
Безопасность. Компьютерная Безопасность. Безопасность | "Пользователь, уничтожающий информацию" 3. MMS | ||
компьютерной информации. - Состояние защищенности жизненно | (military message system)-модель. | ||
важных интересов личности, общества и государства от внутренних | 161 | Лекция 2.5. Автоматные и теоретико-вероятностные модели | |
и внешних угроз. Компьютерная безопасность – состояние | невлияния и невыводимости. Тема 2. Модели безопасности | ||
защищенности (безопасность) информации в компьютерных системах и | компьютерных систем. ? Гайдамакин Н.А., 2008г. ГОС 075200 | ||
безотказность (надежность) функционирования компьютерных систем. | «Компьютерная безопасность» ОПД.Ф.10 "Теоретические основы | ||
16 | 16. Безотказность (надежность) функционирования КС. | компьютерной безопасности" Презентация предназначена для | |
Безопасность информации в КС. Компьютерная безопасность. 2. | отработки и закрепления лекционного материала студентами группы | ||
Содержание и структура понятия компьютерной безопасности. | КБ МатМех УрГУ. Распространение и передача презентации третьим | ||
Обеспечение аутентично-сти реализации функций. Обеспечение | лицам запрещается. | ||
безотказно-сти реализации функций. Обеспече-ние | 162 | 1. Понятие и общая характеристика скрытых каналов утечки | |
конфи-денци-ально-сти информа-ции. Обеспече-ние целост-ности | информации 2. Автоматная модель невлияния Гогена-Месигера | ||
информа-ции. Обеспече-ние доступ-ности информа-ции. Обеспе-чение | (GM-модель) 3. Теоретико-информационные модели невыводимости и | ||
цело-стно-сти параметров ПО. Обеспе-чение цело-стно-сти ПО. | невлияния (невмешательства). Учебные вопросы: 162. Литература: | ||
Обеспе-чение безотказно сти ПО. Обеспе-чение безотказности | 1.Теория и практика обеспечения информационной безопасности / | ||
оборудования. - Свойство информации, субъективно устанавливаемое | Под ред. П.Д. Зегжды. М.:Яхтсмен, 1996. - 302с 2. Грушо | ||
ее собственником, когда ему может быть причинен ущерб от | А.А.,Тимонина Е.Е.Теоретические основы защиты информации. | ||
ознакомления с информацией неуполномоченных на то лиц, при | М.:Яхтсмен, 1996. - 192с 3. Теоретические основы компьютерной | ||
условии того, что собственник принимает меры по организации | безопасности: Учеб. пособие для вузов / П.Н.Девянин, | ||
доступа к информации только уполномоченных лиц. - | О.О.Михальский, Д.И.Правиков и др.- М.: Радио и Связь, 2000. - | ||
Неискаженность, достоверность, полнота, адекватность и т.Д., | 192с. 4. Корт СС. Теоретические основы защиты информации: | ||
Т.Е. Такое свойство информации, при котором ее содержание и | Учебное пособие. - М.: Гелиос АРВ, 2004. – 240с. 5. Девянин П.Н. | ||
структура (данных) определены уполномоченными лицами и | Модели безопасности компьютерных систем: Учеб. пособие. – М.: | ||
процессами. - Такое свойство информации, при котором отсутствуют | Изд.центр «Академия», 2005. – 144 с. | ||
препятствия доступа к информации и закономерному ее | 163 | 163. Три вида: Одна из самых сложных проблем безопасности | |
использованию собственником или уполномоченными лицами. | КС: скрытые каналы утечки информации. Определение 1.- механизм, | ||
17 | 17. Безопасность информации - состояние информации, | посредством которого в КС может осуществляться информационный | |
информационных ресурсов и информационных систем, при котором с | поток (передача информации) между сущностями в обход политики | ||
требуемой вероятностью обеспечивается защита информации от | (правил) разграничения доступа. В моделях дискреционного доступа | ||
утечки, хищения, утраты, несанкционированного уничтожения, | - возможность осуществления доступа субъектов к объектам вне | ||
модификации (подделки), несанкционированного копирования, | области безопасного доступа, к примеру, вне явных разрешений, | ||
блокирования информации и т.п. Методы и средства нейтрализации, | "прописанных" в матрице доступа (потоки за счет | ||
предотвращения угроз или снижения ущерба. Субъект защиты. Угрозы | "троянских программ" и неявные информационные потоки – | ||
(формы, методы осуществления). Субъект (источник) угроз. 2. | за счет доступа к общим объектам). В моделях мандатного доступа | ||
Содержание и структура понятия компьютерной безопасности. | - потоки "сверху вниз" – от сущностей с высоким | ||
Нарушение конфиден- денциальности, целост- ности, доступности, | уровнем безопасности к сущностям более низких уровней | ||
безотказности функций. Объект защиты- компьютерная информация, | безопасности вне явного нарушения правил NRU и NWD (т.е. без | ||
функции КС. | непосредственного доступа к объектам на чтение или запись). 1. | ||
18 | 18. Общие принципы обеспечения компьютерной безопасности. 3. | Понятие и общая характеристика скрытых каналов утечки | |
Общая характеристика принципов, методов и механизмов обеспечения | информации. - Скрытые каналы по памяти (на основе анализа | ||
компьютерной безопасности. Разумной достаточности. | объема и других статических параметров объектов системы); - | ||
Целенаправленности. Системности. Комплексности. -внедрение в | скрытые каналы по времени (на основе анализа временных | ||
архитектуру, в алгоритмы и технологии функционирования КС | параметров протекания процессов системы); - скрытые | ||
защитных механизмов, функций и процедур объективно вызывает | статистические каналы (на основе анализа статистических | ||
дополнительные затраты, издержки при создании и эксплуатации КС, | параметров процессов системы. | ||
ограничивает, снижает функциональные возможности КС и параметры | 164 | 164. Пример скрытого канала по памяти. Пусть имеется | |
ее эффективности (быстродействие, задействуемые ресурсы), | система, в которой работают доверенный и недоверенный | ||
вызывает неудобства в работе пользователям КС, налагает на них | пользователь, разделяющие общий ресурс памяти. Состояние | ||
дополнительные нагрузки и требования — поэтому защита должна | системы. Информация, полученная по скрытому каналу. 1. | ||
быть разумно достаточной (на минимально необходимом уровне). | Соотношение памяти 50Х50. 1 бит. 2. Соотношение памяти 70Х30. 3. | ||
-устранение, нейтрализация (либо обеспечение снижения | Соотношение памяти 50Х50. 1 бит. 4. Соотношение памяти 70Х30. 1 | ||
потенциального ущерба) конкретного перечня угроз (опасностей), | бит. Подходы к перекрытияю скрытых каналов информационное | ||
характерных для конкретной КС в конкретных условиях ее создания | нвлияние и невыводимость. 1. Понятие и общая характеристика | ||
и эксплуатации. -выбор защитных механизмов с учетом системной | скрытых каналов утечки информации. | ||
сути КС, как органи-зационно-технологической человеко-машинной | 165 | 165. Два уровня безопасности (решетка из 2-х элементов) – | |
системы, состоящей из взаимосвязанных, составляющих единое целое | высокий (high) и низкий (low) соответственно в системе работает | ||
функциональных, программных, технических, | две группы пользователей – высокоуровневые и низкоуровневые. | ||
организационно-технологических подсистем. -Выбор защитных | Критерий безопасности в GM-модели - ввод высокоуровневого | ||
механизмов различной и наиболее целесообразной в конкретных | пользователя не может смешиваться с выводом низкоуровневого | ||
условиях природы – программно-алгоритмических, | пользователя. Особая (автоматная) разновидность класса моделей | ||
процедурно-технологических, нормативно-организационных, и на | конечных состояний КС можно представить детерминированным | ||
всех стадиях жизненного цикла – на этапах создания, эксплуатации | автоматом, на вход которого поступает последовательность команд | ||
и вывода из строя. | пользователей для каждой команды каждого пользователя задана | ||
19 | 19. Общие принципы обеспечения компьютерной безопасности. 3. | функция вывода, определяющая то, что каждый пользователь | |
Общая характеристика принципов, методов и механизмов обеспечения | "видит" на выходе (на устройстве вывода). J.Goguen, | ||
компьютерной безопасности. Непрерывности. Управляемость. | J.Meseguer, 1982г. Идеология невлияния (невмешательства) вводов | ||
Сочетания унификации и оригинальности. -Защитные механизмы | (команд) одних пользователей на (в) выводы других пользователей | ||
должны функционировать в любых ситуациях в т.Ч. И внештатных, | (выводы – то, что они «видят» на выходе). 2. Автоматная модель | ||
обеспечивая как конфиденциальность, целостность, так и | невлияния Гогена-Месигера (GM-модель). | ||
сохранность (правомерную доступность). -система защиты КС | 166 | 166. Основные тезисы и определения GM-модели. 1.Состояние | |
строится как система управления – объект управления (угрозы | системы описывается 4-мя элементами: -высокий ввод (high-in) | ||
безопасности и процедуры функционирования КС), субъект | -высокий вывод (high-out) -низкий ввод (low-in) -низкий вывод | ||
управления (средства и механизмы защиты), среда | (low-out). 2.На множестве пользователей u вводится функция | ||
функционирования, обратная связь в цикле управления, целевая | cl(u), отражающая уровень доверия пользователю (низкий или | ||
функция управления (снижение риска от угроз безопасности до | высокий). 3.Переходы системы по командам пользователей | ||
требуемого (приемлемого) уровня), контроль эффективности | описываются функцией: - out(u, hist.соmmand(u)) где | ||
(результативности) функционирования. -с одной стороны с учетом | hist.соmmand(u) - история вводов системы (traces) от момента, | ||
опыта создания и применения КС, опыта обеспечения безопасности | когда был осуществлен последний ввод in(u) пользователя u. | ||
КС должны применяться максимально проверенные, | 4.Вводится функция очищения ввода purge - очищает историю ввода | ||
стандартизированные и унифицированные архитектурные, | traces от наличия в ней команд пользователей, чей уровень | ||
программно-алгоритмические, организационно-технологические | доверия ниже уровня доверия пользователя u. 2. Автоматная модель | ||
решения, -с другой стороны, с учетом динамики развития ИТ, | невлияния Гогена-Месигера (GM-модель). | ||
диалектики средств нападения и защиты должны разрабатываться и | 167 | 167. 4.Формальное определение функции очищения : purge: | |
внедряться новые оригинальные архитектурные, | users,traces ? traces (функция, отображающая историю ввода | ||
программно-алгоритмические, организационно-технологические | системы с момента действий конкретного пользователя u в область | ||
решения, обеспечивающие безопасность КС в новых условиях угроз, | же историй ввода), такая, что: - purge(u, < >) = < | ||
с минимизацией затрат и издержек, повышением эффективности и | >, где < > - пустая история ввода purge(u, | ||
параметров функционирования КС, снижением требований к | hist.command(u)) = hist.command(u)/command(w), если command(w) - | ||
пользователям. | ввод, исполненный пользователем w с момента in(u) и | ||
20 | 20. 3. Общая характеристика принципов, методов и механизмов | cl(u)<cl(w) purge(u, hist.command(u))=hist.command(u) ? | |
обеспечения компьютерной безопасности. Систематика методов и | hist.command(w), если command(w) - ввод, исполняемый | ||
механизмов обеспечения КБ. Конфиденциальность. Целостность. | пользователем w с момента in(u), и cl(u)?cl(w). Система | ||
Доступность. | удовлетворяет требованию невлияния (невмешательства), если и | ||
21 | Лекция 1.2. Угрозы безопасности в компьютерных системах. | только если: для всех пользователей u, всех историй hist, и всех | |
Тема 1. Исходные положения теории компьютерной безопасности. ГОС | команд вывода command out(u, hist.command(u)) = out(u, purge(u, | ||
075200 «Компьютерная безопасность». ? Гайдамакин Н.А., 2008г. | hist.command(u))) т.е. когда вывод в системе организован так, | ||
ОПД.Ф.10 «Теоретические основы компьютерной безопасности». | что система всегда чиста по смешиванию высоких и низких вводов в | ||
Презентация предназначена для отработки и закрепления | предыстории каждого вывода). Основное правило в GM-модели | ||
лекционного материала студентами группы КБ МатМех УрГУ. | невлияния. Осн. Достоинство - запрещаются многие скрытые каналы | ||
Распространение и передача презентации третьим лицам | утечки. 2. Автоматная модель невлияния Гогена-Месигера | ||
запрещается. | (GM-модель). | ||
22 | 1. Понятие и классификация угроз 2. Идентификация и | 168 | 168. -КС (многопользовательские ОС и СУБД, глобальные сети) |
таксонометрия (каталогизация) угроз 3. Оценивание угроз 4. | в реальности представляют не детерминированные, а вероятностные | ||
Человеческий фактор в угрозах безопасности и модель нарушителя. | системы. Подходы к решению проблемы скрытых каналов на основе | ||
Учебные вопросы: 22. Литература: 1. ГОСТ Р 51275-99. Защита | теоретико-информационной интерпретации моделей КС (идеи | ||
информации. Объект информа- тизации. Факторы, воздействующие на | Д.Денинга): На этой основе в рамках политики полномочного | ||
информацию 2. Bundesamt f?r Sicherheit der Informationstechnik | доступа рассматривается следующая система: H и L являются | ||
(Германский стандарт безопасности IT), http://www.bsi.de 3. РД | случайными величинами. Информационная невыводимость. | ||
ГосТехКомиссии России. Безопасность ИТ. Руководство по | Информационное невлияние (невмешательство). 3. | ||
формированию семейств профилей защиты 4. ГОСТ Р ИСО 7498-2-99. | Теоретико-информационные модели невыводимости и невлияния | ||
Взаимосвязь открытых систем. Базовая эталонная модель. Ч.2. | (невмешательства). Состояния КС, в т.ч. в части конфиденциальных | ||
Архитектура защиты информации. | объектов имеют вероятностный характер. Понятие информационных | ||
23 | 23. 1. Понятие и классификация угроз. Угроза безопасности. | потоков расширяется в рамках трактовки информации по К.Шеннону. | |
24 | 24. 1. Понятие и классификация угроз. Систематизация – | 169 | 169. Модели информационной невыводимости и информационного |
приведение в систему, т.е. в нечто целое, представляющее собой | невлияния - теоретическая основа недопущения и нейтрализации | ||
единство закономерно расположенных и находящихся во взаимной | скрытых каналов утечки информации и информационного воздействия. | ||
связи частей; выстраивание в определенный порядок. Частным | Информационная невыводимость. Определение 2.В системе | ||
случаем систематизации является классификация. Классификация – | присутствует информационный поток от высокоуровневых объектов H | ||
последовательное деление понятий, проводимое по характеристикам | к низкоуровневым L, если некое возможное значение переменной в | ||
и параметрам, существенным с точки зрения исследовательской | некотором состоянии низкоуровневого объекта L невозможно | ||
задачи. Существенные параметры и характеристики называются | одновременно с возможными значениями переменных состояния | ||
основаниями, критериями классификации. Выделяется | высокоуровневых объектов H. Определение 3.Система безопасна в | ||
таксономическая классификация (род-вид) мереологическая | смысле информационной невыводимости, если в ней отсутствуют | ||
классификация (часть-целое) фасетная классификация | информаци- онные потоки вида, описанного в Определении 1. Иначе | ||
(аналитико-синтетическая). | - нет информационного потока от H к L тогда и только тогда, | ||
25 | 25. 1. Понятие и классификация угроз. Угрозы. | когда выполняется следующее условие: если p(h)>0, p(l)>0, | |
26 | 26. 1. Понятие и классификация угроз. Угрозы по природе | то p(h|l)>0. Но – при p(H)>0, p(L)>0 ? p(L|H) = | |
происхождения. Отказы и сбои аппаратуры - определяются качеством | p(H,L)/p(H) = p(H|L)p(L)/p(H). Отсутствие и обр. Потоков – | ||
и надежностью аппаратуры - техническими решениями и др. | фактически полная изоляция H и L. Отсюда из p(H|L)>0 ? | ||
факторами. Помехи на линиях связи от внешних воздействий - | p(L|H)>0. 3. Теоретико-информационные модели невыводимости и | ||
правильность выбора места (маршрута) прокладки - технических | невлияния (невмешательства). Понятие информации по Шеннону - | ||
решений по помехозащищенности - э/м обстановки. Схемные и | изменение степени неопределенности знания о состоянии объекта | ||
системотехнические ошибки разработчиков Структурные, | или само изменение степени неопределенности состояния объекта. | ||
алгоритмические и программные ошибки - специальные методы | Т.Е. Наблюдая L, можно вывести информацию о состоянии H (утечка | ||
проектирования и разработки - специальные процедуры тестирования | по скры- тому каналу «сверху-вниз»). Т.Е. При каком-либо L м.Б. | ||
и отладки. Аварийные ситуации - по выходу из строя | Раз-личные H с ненулевой вер-ю. | ||
электропитания - по стихийным бедствиям - по выходу из строя | 170 | 170. P(l|h)= p(l), что при p(h)>0, p(l)>0 равносильно | |
систем жизнеобеспечения. А. | p(h|l)= p(h). Вместе с тем: потоки «снизу-вверх» неопасны и | ||
27 | 27. Преднамеренные (субъективные). 1. Понятие и | допустимы при полной изоляции разноуровневых объектов | |
классификация угроз. Угрозы по природе происхождения. - | существенно снижается функциональность КС. Информационное | ||
Вызванные человеком или связанные с действиями человека, | невлияние (невмешательство). Определение 4.Система безопасна, | ||
определяются т.Н. Человеческим фактором (мотивы, категории, | если на состояние высокоуровне- вых объектов не влияет состояние | ||
возможности). Общий ландшафт инцидентов в IT-сфере РФ. А. | низкоуровневых объектов в предшествующие моменты времени, и | ||
28 | 28. 1. Понятие и классификация угроз. Угрозы по направлению | наоборот. p(Lt|Ht-1 ) = p(Lt) p(Ht|Lt-1 ) = p(Ht). С другой | |
осуществления. Причины, источники: недружественное (враждебное) | стороны нельзя также требовать - p(Lt|Ht-1 ) = p(Lt ) (z.b. | ||
окружение дестабилизирующие факторы внешней среды. Внутренняя | после сбоя значение несекретного файла может определяться на | ||
зона КС. Зона контролируемой территории. Зона помещений КС. Зона | осно-ве состояния файла аудита до сбоя). 3. | ||
ресурсов КС. B. | Теоретико-информационные модели невыводимости и невлияния | ||
29 | 29. 1. Понятие и классификация угроз. Соотношение некоторых | (невмешательства). Т.О. В модели информационной невыводимости | |
видов угроз. Соотношение внешних и внутренних (т.н. | требуется, чтобы низкоуровневая информация была независима от | ||
инсайдерских) угроз. | высокоуровневой: Другой подход. | ||
30 | 30. 2. Идентификация и таксонометрия (каталогизация) угроз. | 171 | 171. Поэтому требования информационного невлияния смягчаются |
ГОСТ Р ИСО/МЭК 15408-2002,ч.1. Процесс создания КС в аспекте | - низкоуровневые объекты не должны иметь возможности накапливать | ||
обеспечения безопасности: 1.Идентификация и оценка защищаемых | информацию о значениях высокоуровневых объектах (чтобы знание | ||
активов (конфиденциальность, целостность, доступность) и функций | Lt-1 и Lt не давало бы новой информации о Ht-1 ): p(Lt|Ht-1 , | ||
КС 2.Идентификация угроз безопасности (выявление и спецификация | Lt-1 ) = p(Lt|Lt-1 ). Что равносильно - p(ht-1|lt , lt-1 ) = | ||
- источники/ природа; активы/функции, подвергаемые воздействию; | p(ht-1|lt-1 ). Т.Е. Запрещается поток из lt в ht-1 , но !!! не | ||
методы/способы/ особенности реализации; используемые уязвимости) | запрещается из lt в ht+1. Т.О. Высокоуровневые объекты могут | ||
и их оценка 3.Выбор и обоснование функциональных требований к КС | принимать информацию о состоянии низкоуровневых объектов в | ||
(архитектура и лежащие в ее основе модели обеспечения | предыдущие моменты времени (неопасные потоки «снизу-вверх»). | ||
конфиденциальности/целостности/ доступности; функции обеспечения | Определение 5.Система безопасна в смысле информационного | ||
безопасности) 4.Реализация функциональных требований в процессе | невмешательства (невлияния), если выполняется равенство: p(Lt|Hs | ||
проектирования/создания 5.Оценка степени реализации | , Ls ) = p(Lt|Ls ) , где s,t = 0,1,2, … и s < t. 3. | ||
функциональных требований (сертификация по требованиям | Теоретико-информационные модели невыводимости и невлияния | ||
безопасности), в т.ч. возможных уязвимостей, брешей безопасн-ти. | (невмешательства). | ||
31 | … … 31. 2. Идентификация и таксонометрия (каталогизация) | 172 | 172. Реализации моделей информационной невыводимости и |
угроз. Идентификация угроз -установление из всех возможных - тех | информационного невмешательства. - Технологии «представлений» | ||
угроз, которые имеют место быть (существуют, актуальны, | (views) в СУБД и ОС. - Технологии «разрешенных процедур» в АС. | ||
воздействуют) для данной КС в процессах ее создания и | 3. Теоретико-информационные модели невыводимости и невлияния | ||
эксплуатации; -основывается на использовании таксономических | (невмешательства). | ||
классификационных перечней угроз (каталогов угроз), закрепляемых | 173 | 173. Определение 6. "Представлением" информации КС | |
в стандартах и др. нормативно-методических документах и анализе | называется процедура формирования и предоставления именованному | ||
актуальности тех или иных угроз в отношении активов (ресурсов | пользователю после его входа в систему и аутентификации | ||
КС) и их ценности. Угр.2. Раскрытие данных путем анализа | необходимого ему подмножества информационных объектов КС, в том | ||
остаточной информации. Перечень угроз для КС. Угроза актуальна? | числе, с возможным их количественным и структурным | ||
раскрытие данных путем доступа к файлам БД средствами ОС. Угр.1. | видоизменением, исходя из задач разграничения доступа к | ||
Раскрытие данных путем доступа к файлам БД средствами ОС. | информации. На языке SQL CREATE VIEW ИмяПредставления [(поле1[, | ||
Раскрытие данных путем анализа остаточной информации. ошибочное | поле2[, ...]])] AS инструкция_SELECT __ ; GRANT SELECT ON | ||
уничтожение данных пользователями КС. | ИмяПредставления TO ИмяПользователя; - Эффективное средство | ||
32 | 32. 2. Идентификация и таксонометрия (каталогизация) угроз. | решения проблемы скрытых каналов утечки информации по памяти, но | |
Каталоги (таксономические схемы классификации) угроз | не защищает от скрытых каналов второго и третьего вида – т.Е. От | ||
безопасности. ГОСТ Р 51275-99. Защита информации. Объект | каналов, возникающих на основе анализа временных и | ||
информа- тизации. Факторы, воздействующие на информацию. | статистических параметров процессов в системах коллективного | ||
http://linux.nist.fss.ru. Bundesamt f?r Sicherheit der | доступа к общим информационным ресурсам. 3. | ||
Informationstechnik (Германский стандарт безопасности IT), | Теоретико-информационные модели невыводимости и невлияния | ||
http://www.bsi.de. РД ГосТехКомиссии России. Безопасность ИТ. | (невмешательства). | ||
Руководство по формированию семейств профилей защиты. | 174 | 174. - часть из проблем по скрытым каналам по времени | |
http://www.fstec.ru. | связаны с интерфейсом АС и, основывается, в частности, на | ||
33 | 33. 2. Идентификация и таксонометрия (каталогизация) угроз. | технике "разрешенных процедур" Определение 7. | |
Факторы, воздействующие на информацию (ГОСТ Р 51275-99). Класс. | "Системой разрешенных процедур" называется | ||
Подкласс. Группа. Под группа. Вид. Подвид. | разновидность интерфейса АС, когда при входе в систему после | ||
34 | 34. 2. Идентификация и таксонометрия (каталогизация) угроз. | идентификации и аутентификации пользователям предоставляет | |
Классы, подклассы и группы факторов (ГОСТ Р 51275-99). | только лишь возможность запуска и исполнения конечного набора | ||
35 | 35. 2. Идентификация и таксонометрия (каталогизация) угроз. | логико-технологических процедур обработки информации без | |
36 | 36. 2. Идентификация и таксонометрия (каталогизация) угроз. | возможности применения элементарных методов доступа (read, | |
Методология объектов и угроз в продуктах и системах ИТ (РД | write, append, update, create, delete и т.п.) к объектам | ||
ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г., | системы. 3. Теоретико-информационные модели невыводимости и | ||
пример). Аспекты угрозы. Угрозы данным на носителях. Угрозы | невлияния (невмешательства). | ||
данным в телекоммуникационных линиях. Угрозы прикладным | 175 | 175. Теоретико-вероятностная трактовка GM-автомата. Система | |
программам (приложениям). Угрозы прикладным процессам и данным. | – не детерминированный, а вероятностный автомат, состояния | ||
Угрозы отображаемым данным. Угрозы вводимым данным. Угрозы | которого реализуются с вероятностью {0,1}. Определение | ||
данным, выводимым на печать. Угрозы данным пользователей. Угрозы | 8.Система, функционирование которой представляется совокупностью | ||
системным службам и данным. Угрозы информационному оборудованию. | четырех событий с вероятностью{0,1} - high-in, high-out, low-in | ||
- Источник угрозы (люди либо иные факторы). - Предполагаемый | и low-out обладает свойством информационного невмешательства, | ||
метод (способ, особенности) нападения/реализации. - Уязвимости, | если выполняется равенство: p(low-outt|high-ins ,low-ins ) = | ||
которые м.Б. Использованы для нападения/реализации. - Активы, | p(low-outt|low-ins ) где s,t = 0,1,2, … и s < t. т.о. - | ||
подверженные нападению/реализации. | модели невыводимости и невмешательства "сильнее" и | ||
37 | 37. 2. Идентификация и таксонометрия (каталогизация) угроз. | ближе к реальности, чем классическая модель полномочного доступа | |
Угрозы защищаемым активам в продуктах и системах ИТ (РД | Белла-ЛаПадулы, т.к. более гибко контролируют потоки информации | ||
ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г., | между сущностями с разным уровнем безопасности - дают | ||
пример). Данные на носителях. Данные раскрыты путем незаконного | методологию борьбы со скрытыми каналами утечки информации, | ||
перемещения носителя. Обращение к данным, изменение, удаление, | лежащую в основе, в частности технологий | ||
добавление в приложение или извлечение из приложения данных | "представлений" и "разрешенных процедур" 3. | ||
неуполномоченным лицом. Данные раскрыты путем их выгрузки с | Теоретико-информационные модели невыводимости и невлияния | ||
носителя данных неуполномоченным лицом. Использование остаточной | (невмешательства). | ||
информации на носителе. Незаконное копирование данных. Данные | 176 | Лекция 2.6. Модели и технологии обеспечения целостности | |
незаконно используются, или их использование затруднено из-за | данных. Тема 2. Модели безопасности компьютерных систем. ? | ||
изменения атрибутов доступа к данным неуполномоченным лицом. | Гайдамакин Н.А., 2008г. ГОС 075200 «Компьютерная безопасность» | ||
Данные получены незаконно путем фальсификации файла. Данные | ОПД.Ф.10 "Теоретические основы компьютерной | ||
повреждены из-за разрушения носителя. Данные уничтожены или их | безопасности" Презентация предназначена для отработки и | ||
использование затруднено из-за неисправности устройства | закрепления лекционного материала студентами группы КБ МатМех | ||
ввода-вывода. Обращение к данным, изменение, удаление, | УрГУ. Распространение и передача презентации третьим лицам | ||
добавление в приложение или извлечение из приложения данных | запрещается. | ||
неуполномоченным лицом путем использования соответствующей | 177 | 1. Общая характеристика моделей и технологий обеспечения | |
команды. Зашифрованные данные не могут быть дешифрованы из-за | целостности данных 2. Мандатная модель Кен Биба и дискреционная | ||
потери секретного ключа. Данные ошибочно удалены уполномоченным | модель Кларка-Вильсона 3. Технологии ЭЦП 4. Мониторы транзакций | ||
лицом. | в СУБД «Клиент-сервер». Учебные вопросы: 177. 1. Зегжда Д.П., | ||
38 | 38. 2. Идентификация и таксонометрия (каталогизация) угроз. | Ивашко А.М. Основы безопасности информационных систем. - | |
Угрозы защищаемым активам в продуктах и системах ИТ (РД | М.:Горячая линия - Телеком, 2000. - 452с 2. Грушо А.А.,Тимонина | ||
ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г., | Е.Е. Теоретические основы защиты информации. М.:Яхтсмен, 1996. - | ||
пример). Данные в телекоммуникационных линиях. Прикладные | 192с 3.Теоретические основы компьютерной безопасности : Учеб. | ||
программы (приложения). Данные перехвачены или разрушены в | Пособие для вузов / П.Н.Девянин, О.О.Михальский, Д.И.Правиков и | ||
телекоммуникационной линии. Данные прослушиваются, незаконно | др. - М.: Радио и связь, 2000.-192с. 4.Гайдамакин Н.А. | ||
умышленно изменены, искажены, похищены, удалены или дополнены в | Автоматизированные информационные системы, базы и банки данных. | ||
системе коммутации. Данные незаконно используются в результате | Вводный курс. – М.: Гелиос АРВ, 2003. 368с. Литература: | ||
подмены их адресата, отправителя или изменения атрибутов доступа | 178 | 178. Понятие ЦЕЛОСТНОСТИ данных. модели обеспечения | |
в системе коммутации. Связь заблокирована из-за повреждения | целостности в рамках субъектно-объектной формализации КС (модель | ||
линии. Связь заблокирована из-за аномалий в канале связи. | Биба, модель Кларка-Вильсона). Криптографические технологии | ||
Несанкционированная повторная передача данных в неразрешенный | электронной цифровой подписи. технологии параллельного | ||
адрес. Выполнение приложения неуполномоченным лицом. Обращение к | выполнения транзакций в клиент-серверных СУБД. объектов, | ||
данным в библиотеке программ, модификация или удаление данных в | содержащих код ПО. Отсутствие подделки при: - передаче данных - | ||
библиотеке программ неуполномоченным лицом. Незаконное | обработке данных. Отсутствие ошибок в: - структуре данных - | ||
использование программы или затруднение ее использования путем | содержании данных. 1. Общая характеристика моделей обеспечения | ||
изменения ее атрибутов доступа неуполномоченным лицом. Аномалии | целостности данных. Свойство, гарантирующее точность и полноту | ||
в ходе выполнения программы из-за аппаратного отказа компьютера. | информации, а также методов ее обработки такое свойство | ||
39 | 39. 2. Идентификация и таксонометрия (каталогизация) угроз. | информации, при котором ее содержание и структура (данных) | |
Угрозы защищаемым активам в продуктах и системах ИТ (РД | определены уполномоченными лицами и процессами. Неизменность. | ||
ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г., | Неискаженность. Правильность. | ||
пример). Прикладные процессы и данные. Отображаемые данные. | 179 | 179. Система защиты - совокупность - множества субъектов S - | |
Вводимые данные. Несанкционированное использование прикладных | множества объектов O - множества операций над объектами доступа | ||
процессов (например, запросов по telnet и FTP). Блокировка | R (два элемента - read и write) - решетки уровней безопасности ? | ||
прикладных процессов (атаки, направленные на переполнение | субъектов и объектов (решетка уровней целостности данных) - | ||
трафика, например, запросы на обработку потока ненужных данных). | функции F, отображающей элементы множеств S и O в ? - множества | ||
Отрицание факта обмена данными или отрицание их содержания. | состояний системы V, которое определяется множеством | ||
Отказ от авторства данных. Несанкционированная передача данных. | упорядоченных пар (F,A) - начального состояния v0 - набора | ||
Несанкционированное использование данных или программ путем | запросов Q - функции переходов T: (VxQ) ? V, которая переводит | ||
использования оставшихся в программах отладочных функций. | систему из одного состояния в другое при выполнении запросов | ||
Необоснованный отказ от предоставления услуги. Незаконное | субъектов на доступ к объектам. 2. Мандатная модель Биба | ||
умышленное изменение, искажение, похищение, удаление или | (сер.70-х годов, Кен Биба), Дискреционная модель Кларка Вильсона | ||
разрушение данных. Несанкционированное выполнение операций. | (1987г.). | ||
Нарушение конфиденциальности. Просмотр данных неуполномоченным | 180 | 180. Модель Биба - инверсия модели Белла-ЛаПадулы. - Запись | |
лицом. Несанкционированное копирование или печать. Данные | данных субъектом s ? S в объект o ? O с более высоким уровнем | ||
раскрыты во время ввода. Введенные данные несанкционированно | безопасности – F (s) < F (o) (no write up - NWU) – нельзя | ||
изъяты (или удалены). | писать вверх, т.К. В результате может произойти нарушение | ||
40 | 40. 2. Идентификация и таксонометрия (каталогизация) угроз. | целостности («загрязнение») объекта. - Чтение данных субъектом s | |
Угрозы защищаемым активам в продуктах и системах ИТ (РД | ? S из объекта o ? O с более низким уровнем безопасности – F (o) | ||
ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г., | < F (s) (no read down - NRD) – нельзя читать вниз, т.К. В | ||
пример). Данные, выводимые на печать. Данные пользователей. | результате может произойти нарушение целостности («загрязнение») | ||
Ознакомление или изъятие данных неуполномоченным лицом. | субъекта. Критерий безопасности (обеспечения целостности) - | ||
Несанкционированное копирование. Пользователь (человек, система, | недопустимы потоки «снизу вверх», т.к. могут нарушить | ||
терминал) не может быть идентифицирован. Маскировка путем | целостность объектов более высокого уровня безопасности: 2. | ||
использования раскрытой идентификационной информации | Мандатная модель Биба (сер.70-х годов, Кен Биба), Дискреционная | ||
пользователя (человека, системы, терминала). Пользователь не | модель Кларка-Вильсона (1987г.). | ||
идентифицирован. Маскировка путем использования незаконно | 181 | 181. Разновидности модели Биба. Но, т.К. В результате они | |
раскрытой информации аутентификации. Маскировка путем | могут быть загрязнены, то после завершения операции чтения, | ||
незаконного (логического) вывода аутентификационной информации. | уровень целостности субъектов должен быть понижен до уровня | ||
Маскировка путем использования недействительной | целостности прочитанного объекта – F (o) < F (s) – f*(s) ? F | ||
аутентификационной информации. Использование недействительного | (o). Но, т.К. В результате объект может быть загрязнен, то после | ||
права из-за сбоя журнала регистрации прав пользователей. | заверше-ния операции записи, уровень целостности измененного | ||
Действия пользователя несанкционированно раскрыты (нарушение | объекта должен быть понижен до уровня целостности изменяющего | ||
конфиденциальности). Отрицание факта передачи данных. Отрицание | субъекта – F (s) < F (o) – f*(o) ? F (s). Модель с понижением | ||
владения данными. Отрицание факта приема данных. Данные посланы | уровня субъекта. Модель с понижением уровня объекта. Субъекты | ||
несоответствующему получателю вследствие его маскировки под | могут читать любые объекты. Субъекты могут писать в любые | ||
авторизованного пользователя или ошибки спецификации. Маскировка | объекты. Главный недостаток - «деградация» системы. 2. Мандатная | ||
путем подделки информации аутентификации. | модель Биба (сер.70-х годов, Кен Биба), Дискреционная модель | ||
41 | 41. 2. Идентификация и таксонометрия (каталогизация) угроз. | Кларка-Вильсона (1987г.). | |
Угрозы защищаемым активам в продуктах и системах ИТ (РД | 182 | 182. - Решетка ?к уровней конфиденциальности и функция | |
ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г., | отображения на нее субъектов и объектов доступа fк(x) = lк ? ?к | ||
пример). Системные службы и данные. Информационное оборудование. | , x ? S ? O. - Решетка ?ц уровней целостности и функция | ||
Нарушение безопасности системы путем раскрытия секретного ключа | отображения на нее субъектов и объектов доступа fц(x) = lц ? ?ц | ||
шифрования. Система незаконно используется пользователем, | , x ? S ? O. - Принятие решения на доступ одновременно по | ||
который выдает себя за оператора во время отсутствия оператора. | правилам NRU и NWD по функции fк(x) и правилам NRD и NWU по | ||
Нарушение безопасности системы вследствие несанкционированного | функции fц(x). - Операции read и write возможны только в | ||
действия или ошибки уполномоченного пользователя. Внедрение | пределах одного уровня безопасности f(s) = f(o) - полностью | ||
вирусов. Несанкционированное проникновение в систему. | изолированная по уровням безопасности система (т.Н. «Равное | ||
Проникновение в систему, используя известные дефекты протоколов | чтение» и «равная запись»). Возможности объединения мандатной | ||
(например, протокола IP). Нарушение безопасности системы | модели обеспечения конфиденциальности Белла-ЛаПадулы с мандатной | ||
вследствие несанкционированной замены системной программы. | моделью обеспечения целостности Биба. 1. На основе двух | ||
Обслуживание прекращено из-за разрушения системной программы. | различных решеток в одной КС. 2. На основе одной общей решетки. | ||
Несанкционированная системная операция. Повреждение или изъятие. | 3. На основе одной общей решетки, но со спецификой отображения. | ||
Отключение питания. | Но м.Б. Противоречия и тупики. 2. Мандатная модель Биба. | ||
42 | 42. 2. Идентификация и таксонометрия (каталогизация) угроз. | субъекты и объекты с высокими требованиями целостности | |
Потенциальные бреши безопасности (по Зегжде). Ошибки в системах | располагаются на нижнем уровнем иерархии решетки (сист.ПО и | ||
защиты, служа-щие источ-ником ПББ. С деструктив-ными функ-ми | прогр-ст) субъекты и объекты с высокими требованиями | ||
(активные). Предна-мерен-ные. Рпс. Черные ходы, люки. Скрытые | конфиденциальности располагаются на самом высоком уровне | ||
каналы. Без десруктив-ных функций. Ошибки контроля допустимых | иерархии решетки (секр. данные и доверенные пользователи). | ||
значений параметров. Ошибки определения областей (доменов). | 183 | 183. Исходные положения. Главная идея «тройки целостности»: | |
Ошибки последов-ти действий и использ-я имен. Случай-ные. Ошибки | «субъект- -операция(транзакция), не нарушающая целостность- | ||
идентификации, аутентификации. Ошибки проверки границ объектов. | -объект». 1. Все множество объектов D разделяется на объекты CDI | ||
Другие ошибки в логике функционирования. Несамовоспроизводящиеся | , требующие контроля целостности (constrained data items), и | ||
(Трояны). Самовоспроизводящиеся (Вирусы). По памяти. По времени. | объекты UDI, не требующие контроля целостности (unconstrained | ||
Другие. | data items) D = CDI ? UDI , CDI ? UDI =? 2. На множестве | ||
43 | 43. 2. Идентификация и таксонометрия (каталогизация) угроз. | элементарных операций над объектами выделяются совокупности | |
Потенциальные бреши безопасности (Зегжда). ППБ по месту | (последовательности), обособляющиеся в логически самостоятельные | ||
размеще-ния в КС. 8. Инициализация ОС (загрузка). Програм-мное | сущности, называемые процедурами преобразования TP | ||
обеспе-чение. Опера-ционные системы. 2. Управление выделением | (transformation procedures). 3. Дополнительно вводится особый | ||
памяти. 10. Управление процессами. 3. Управление устройствами. | класс процедур IVP над данными, которые обеспечивают проверку | ||
6. Управление файловой системой. 5. Средства идент-ии и | целостности контролируемых данных (integrity verification | ||
аутентификации. 1. Другие (неизвестные). Сервисные програм-мы и | procedures). 4. Те процедуры преобразования данных TP, | ||
ути-литы. 10. Привилегированные утилиты. 1. Непривилегированные | применение к результатам которых процедур проверки целостности | ||
утилиты. 2. Прикладные программы. 3. Аппаратное обеспечение. | IVP дает положительный результат, называются «корректно | ||
44 | 44. 3. Оценивание угроз. Общая схема оценивания угроз. Ущ = | (правильно, хорошо) сформированными транзакциями». 2. Мандатная | |
Pуг * Сто. | модель Биба (сер.70-х годов, Кен Биба), Дискреционная модель | ||
45 | 45. 3. Оценивание угроз. Методы оценивания вероятности | Кларка-Вильсона (1987г.). | |
угроз. Априорные, на основе моделей и статистических | 184 | 184. Правила функционирования системы. 2. Дискреционная | |
характеристик физических процессов, реализующих соотв. угрозы | модель Кларка-Вильсона (1987г.). С1. Множество всех процедур | ||
(z.b. на основе Пуассоновского распределения вероятности | контроля целостности IVP должно содержать процедуры контроля | ||
моторных ошибок человека-оператора при вводе информации с | целостности любого элемента данных из множества всех CDI. С2. | ||
клавиатуры с ?= - 2•10-2... 4•10-3 ). Апостериорные, на основе | Все процедуры преобразования TP должны быть хорошо | ||
гистограмм распределения событий проявления соотв. угроз по | сформированными транзакциями, т.е. не нарушать целостности | ||
результатам эксплуатации КС. Экспертные, на основе экспертных | данных, и применяться только по отношению к списку элементов | ||
оценок специалистов. Методики экспертных оценок. Отбор экспертов | (объектов) CDI, устанавливаемых администратором системы. Е1. | ||
(формальные и неформальные требования, метод «снежного кома», | Система должна контролировать допустимость применения TP к | ||
10-12 экспертов) Выбор параметров, по которым оцениваются | элементам CDI в соответствии со списками, указанными в правиле | ||
объекты (стоимость, важность, веса параметров) Выбор шкал | С2. Е2. Система должна поддерживать список разрешенных | ||
оценивания (методов экспертного шкалирования). | конкретным пользователям процедур преобразования TP с указанием | ||
46 | 46. 3. Оценивание угроз. Методы оценивания вероятности | допустимого для каждой TP и данного пользователя набора | |
угроз. Процедуры опроса экспертов (метод «Дельфи») Агрегирование | обрабатываемых элементов CDI (т.е. тройки «субъект-TP-объект | ||
оценок, анализ их устойчивости и согласованности. Методы | CDI»). С3. Список, определенный правилом С2, должен отвечать | ||
экспертного шкалирования. Ранжированием. | требованию разграничения функциональных обязанностей (в т.ч. | ||
47 | 47. Роль человека в угрозах безопасности информации: - | совм. вып-я). Е3. Система должна аутентифицировать всех | |
Носитель/источник угроз (как внутренних, так и внешних, как | пользователей, пытающихся выполнить какую-либо процедуру | ||
случайных, так и преднамеренных). - Средство, орудие | преобразования TP. С4. Каждая TP должна записывать в журнал | ||
осуществления угроз (всех преднамеренных и определенной части | регистрации информацию, достаточную для восстановления полной | ||
случайных угроз). - предмет, объект, среда осуществления угроз | картины каждого применения этой TP. Журнал регистрации – это | ||
(как элемента человеко-машинной КС). 4. Человеческий фактор в | специальный элемент CDI, предназначенный только для добавления в | ||
угрозах безопасности и модель нарушителя. Человеческий фактор в | него информации. С5. Специальные TP могут корректно обрабатывать | ||
угрозах. | UDI, превращая их в CDI. Е4. Только специально уполномоченный | ||
48 | 48. 4. Человеческий фактор в угрозах безопасности и модель | субъект (пользователь) может изменять списки, определенные в | |
нарушителя. Структура потенциальных нарушителей | правилах С2 и Е2. Этот субъект не имеет права выполнять | ||
(злоумышленников). Иные сферы. •Персонал, непосредственно | какие-либо действия, если он уполномочен изменять | ||
связанный с КС ••обслуживающий персонал •••администраторы | регламентирующие эти действия списки. | ||
••••системные ••••безопасности •••инженеры-программисты | 185 | 185. Обобщенная структурная схема системы ЭЦП. Против- ник. | |
••••системные ••••прикладные •••руководители служб ИТ | 3. Криптографические технологии ЭЦП. Система ЭЦП включает два | ||
••обслуживаемый персонал ••• пользователи ••••индивидуальные | этапа: процедуру постановки подписи процедуру проверки подписи. | ||
••••члены раб. групп ••••руководители подр-й •Персонал, не | Системы ЭЦП основываются на идеологии асимметричных | ||
связанный непосредственно с КС ••руководители ••прочие | криптосистем. | ||
работники. Сторонние эксперты, конс. Родственники, друзья. | 186 | 186. 3. Криптографические технологии ЭЦП. Электронная | |
Бывшие работники. | цифровая подпись в стандарте RSA (1977, Массачуссет). T'+S'. При | ||
49 | Мотивы действий, поступков по осуществлению угроз. 49. | условии сохранении в тайне секретных ключей ЭЦП удостоверяет : - | |
Осознанные - Корысть, нажива - Политика, власть, шпионаж - | подлинность автора (защита от маскарада) - подлинность | ||
Исследовательский интерес. Неосознанные (не вполне, не до конца | переданных данных (защита от активного перехвата) Для | ||
осознаваемые) - Хулиганство - Месть - Зависть - Недовольство - | подтверждения факта и подлинности доставки данных получатель В | ||
Небрежность, недобросовестность. 4. Человеческий фактор в | должен направить отправителю А уведомление (квитанцию) о | ||
угрозах безопасности и модель нарушителя. | вручении (ЭЦП подтверждающего ответного сообщения). | ||
50 | Модель нарушителя -совокупность представлений по человечес- | 187 | 187. Требования к хеш-функциям. Хеш-функции (хеш-свертка). |
кому фактору осуществления угроз безопасности. 50. - Категории | 3. Криптографические технологии ЭЦП. - Криптографическое | ||
лиц, в числе которых может оказаться нарушитель - его | преобразование данных произвольной дли-ны в строку битов | ||
мотивационные основания и преследуемые цели - его возможности по | фиксированной длины (обычно 160-256 бит). Необратимость – | ||
осуществлению тех или иных угроз (квалификация, техническая и | вычисление исходных данных по их хеш-свертке невозможно или | ||
иная инструментальная оснащенность) - наиболее вероятные способы | представляет непреодолимую вычислительную преграду. Это свойство | ||
его действий. Исходное основание для разработки и синтеза | называют «стойкостью в сильном смысле». Стойкость к коллизиям – | ||
системы защиты информации!!! 4. Человеческий фактор в угрозах | вероятность того, что для двух различ- ных исходных данных их | ||
безопасности и модель нарушителя. | хеш-свертки совпадут д.б. = 0, или ничтожной. - Подобрать по | ||
51 | 51. Модель нарушителя. 4. Человеческий фактор в угрозах | известным исходным данным и их хеш-свертке другие исходные | |
безопасности и модель нарушителя. Модель внутреннего нарушителя | данные с той-же хеш-сверткой невозможно или представляет | ||
по РД ГосТехКомисии. !!! Концепция ориентируется на физически | непреодолимую вычислительную преграду. Чувствительность – | ||
защищенную среду - - нарушитель безопасности как "субъект, | изменение даже одного бита исходных данных, д. приводить к | ||
имеющий доступ к работе со штатными средствами АС и СВТ как | существенному изменению хеш-свертки. | ||
части АС" 4-й (высший) уровень возможностей нарушителя Весь | 188 | 188. Обобщенная схема ключевой хеш-функции. Отк- ры- тые | |
объем возможностей лиц, осуществляю- щих проектирование, | дан- ные. mi= Pi?mi-1. PN'. P2. P1. Pi – n-битный блок, PN' – | ||
реализацию и ремонт технических средств АС, вплоть до включения | доп-ся до n-разр. Обобщенная схема безключевой хеш-функции. Отк- | ||
в состав СВТ собственных технических средств с новыми функциями | ры- тые дан- ные. mi=f(Pi?mi-1). PN'. P2. P1. Pi – m-битный | ||
по обработке ин- формации. 3-й уровень Возможность управления | блок, PN' – доп-ся до m-разр. P0 – фиксированный n-битный | ||
функционирова- нием АС, т.е. воздействием на базовое програм- | начальный вектор. 3. Криптографические технологии ЭЦП. Как | ||
мное обеспече- ние системы и на состав и конфигурацию | правило, хеш-функции строят путем итерационных процедур на | ||
оборудования. 2-й уровень Возможность создания и запуска | основе одношаговых сжимающих функций. … N = 160 – 256 бит. | ||
собственных программ с новыми функциями по обработке информации. | N-разрядов. … Нет. F (x1, x2) – n-битная одношаговая сжи-мающая | ||
1-й уровень Запуск задач (программ) из фикси- рованного набора, | функция, обладающая свойст-вом однонаправленности, x1 – | ||
реализующих заранее предусмотренные функции по обработке | m-бит-ный, x2 – n-битный двоичные вектора. | ||
информации. | 189 | 189. Ключи. Для шифрования данных. Для шифрования ключей. | |
52 | Лекция 1.3. Политика и модели безопасности в компьютерных | Сеансовые ключи. Генерация ключей. Детерминированные методы. | |
системах. Тема 1. Исходные положения теории компьютерной | Недетерминированные методы. 3. Криптографические технологии ЭЦП. | ||
безопасности. ГОС 075200 «Компьютерная безопасность». ? | Подсистемы создания, хранения и распространения ключей – | ||
Гайдамакин Н.А., 2008г. ОПД.Ф.10 «Теоретические основы | важнейший элемент криптосистем. Стандарт ANSI X9.17. Путем | ||
компьютерной безопасности». Презентация предназначена для | формирования псевдослучай-ных последовательностей большой длины | ||
отработки и закрепления лекционного материала студентами группы | на основе ПСП малой длины с заданными (теми же) стат.св-ми. На | ||
КБ МатМех УрГУ. Распространение и передача презентации третьим | основе случайных физических процессов (генераторы шума и т.п.). | ||
лицам запрещается. | Сеансовые ключи – на основе паролей пользователей. Сдвиг. | ||
53 | 1.Понятие политики и моделей безопасности информации в | регистры с лин. обр. связями. На основе процессов физ. природы – | |
компьютерных системах 2.Монитор (ядро) безопасности КС | движ. мыши, нажатие клавиш. | ||
3.Гарантирование выполнения политики безопасности. Изолированная | 190 | 190. Хранение ключей. Криптоустройства, имеющие спец. | |
программная среда. Учебные вопросы: 53. 1.Теория и практика | защищенную от НСД память для ключей. Хранение ключей в | ||
обеспечения информационной безопасности / Под ред. П.Д. Зегжды. | зашифрованном виде на ПЭВМ. Использование внешних устройств для | ||
М.:Яхтсмен, 1996. - 302с 2. Грушо А.А.,Тимонина | хранения ключей (диски, магн. карты…). Распределение ключей. | ||
Е.Е.Теоретические основы защиты информации. М.:Яхтсмен, 1996. - | Через фельдсвязь. Через спец. территориально-распределенную | ||
192с 3. Баранов А.П., Борисенко Н.П., Зегжда П.Д, Корт С.С., | систему. Через передачу (в зашифрованном виде) или спец. режим | ||
Ростовцев А.Г. Математические основы информационной | формирования по открытым каналам связи на основе асимметричных | ||
безопасности. - Орел, ВИПС, 1997.- 354с. 4. Прокопьев И.В., | криптопротоколов. Через инфраструктуру открытых ключей | ||
Шрамков И.Г., Щербаков А.Ю. Введение в теоретические основы | посредством использования идеологии сертификатов ключей. 3. | ||
компьютерной безопасности : Уч. пособие. М., 1998.- 184с. 5. | Криптографические технологии ЭЦП. Для систем с открытым ключом. | ||
Щербаков А.Ю. Введение в теорию и практику компьютерной | 191 | 191. Сертификат ключа. Инфраструктура открытых ключей. | |
безопасности. М.: издатель Молгачев С.В.- 2001- 352 с. | Сертификационный (удостоверяющий) центр. Иерархическая система | ||
54 | 54. Политика безопасности КС -интегральная (качественная) | сертификационных центров. 3. Криптографические технологии ЭЦП. | |
характеристика, описывающая свойства, принципы и правила | абонент, получивший сообщение, должен быть уверен, что открытый | ||
защищенности информации в КС в заданном пространстве угроз. | ключ, с помощью которого расшифровывается сообщение или | ||
Модель безопасности -формальное (математическое, | проверяет-ся ЭЦП, действительно принадлежит объявленному | ||
алгоритмическое, схемотехническое и т.п.) выражение политики | отправителю. - набор данных, заверенный ЭЦП центра сертификации | ||
безопасности. Модель безопасности служит для: -выбора и | (удостоверяющего центра) и включающий открытый ключ и список | ||
обоснования базовых принципов архитектуры, определяющих | атрибутов, относящихся к абоненту ключа (имя абонента, название | ||
механизмы реализации средств защиты информации -подтверждения | центра сертификации, номер сертификата, время действия | ||
свойств (защищенности) разрабатываемой системы путем формального | сертификата, предназначение ключа (шифрование, ЭЦП)). - проверив | ||
доказательства соблюдения политики (требований, условий, | ЭЦП сертификата по известному открытому ключу сертифи-кационного | ||
критериев) безопасности -составления формальной спецификации | центра, можно убедиться, что находящийся в нем открытый ключ | ||
политики безопасности разрабатываемой системы. Политика | действительно принадлежит обозначенному пользователю. Доверенная | ||
безопасности организации -совокупность руководящих принципов, | третья сторона регистрирует абонентов открытых ключей | ||
правил, процедур, практических приемов или руководящих принципов | изготавливает открытые и закрытые ключи и сертификаты открытых | ||
в области безопасности, которыми руководствуется организация в | ключей обеспечивает доступ к сертификатам открытых ключей ведет | ||
своей деятельности (ГОСТ Р ИСО/МЭК 15408). 1.Понятие политики и | справочник действующих и отозванных сертификатов. Сертификат | ||
моделей безопасности информации в КС. | открытого ключа самого сертификационного центра выдает | ||
55 | 55. Модель безопасности включает: -модель компьютерной | сертификационный центр более высшей иерархии. | |
системы -критерии, принципы или целевые функции защищенности и | 192 | 192. Структура СУБД. 4. Мониторы транзакций в СУБД | |
угроз -формализованные правила, алгоритмы, механизмы безопасного | «Клиент-сервер». | ||
функционирования КС. Большинство моделей КС относится к классу | 193 | 193. Клиент-серверные системы. Транзакция - последовательная | |
моделей конечных состояний. 1. Компьютерная система – система, | совокупность операций, имеющая отдельное смысловое значение по | ||
функционирующая в дискретном времени: t0,t1,t2,…,tk,… В каждый | отношению к текущему состоянию базы данных Совокупность функций | ||
следующий момент времени tk КС переходит в новое состояние. В | СУБД по организации и управлению транзакциями - монитор | ||
результате функционирование КС представляет собой | транзакций. 4. Мониторы транзакций в СУБД «Клиент-сервер». | ||
детерминированный или случайный процесс - стационарность | Транзакции играют важную роль в механизме обеспечения СУБД | ||
(временн?е поведение [количественных] параметров системы) - | ограничений целостности базы данных. Ограничения целостности | ||
эргодичность (поведение параметров системы по совокупность | непосредственно проверяются по завершению очередной транзакции. | ||
реализаций) - марковость (память по параметрам системы). 2. | Если условия ограничений целостности данных не выполняются, то | ||
Модели конечных состояний позволяют описать (спрогнозировать) | происходит "откат" транзакции (выполняется | ||
состояние КС в момент времени tn,(n?1), если известно состояние | SQL–инструкция ROLLBACK), в противном случае транзакция | ||
в момент t0 и установлены некоторые правила (алгоритмы, | фиксируется (выполняется SQL–инструкция COMMIT). | ||
ограничения) на переходы системы из состояния tk в tk+1. | 194 | 194. Виды нарушений целостности (при параллельном выполнении | |
1.Понятие политики и моделей безопасности информации в КС. | транзакций). Потерянные изменения - когда две транзакции | ||
56 | 56. Большинство моделей конечных состояний представляет КС | одновременно изменяют один и тот же объект базы данных. В том | |
системой взаимодействующих сущностей двух типов субъектов и | случае, если в силу каких-либо причин, например, из–за нарушений | ||
субъектов (т.н. субъектно-объектные модели КС). 3. В каждый | целостности данных, происходит откат, скажем, второй транзакции, | ||
момент времени tk КС представляется конечным множеством | то вместе с этим отменяются и все изменения, внесенные в | ||
элементов, разделяемых на два подмножества: -множество субъектов | соответствующий период времени первой транзакцией. В результате | ||
- S -множество объектов – O. 4. В каждый момент времени tk | первая еще не завершившаяся транзакция при повторном чтении | ||
субъекты могут порождать процессы над объектами, называемыми | объекта не "видит" своих ранее сделанных изменений | ||
доступами Доступы субъектов к объектам порождают информационные | данных. "Грязные" данные - когда одна транзакция | ||
потоки, переводящие КС в новое состояние tk+1 , в котором в т.ч. | изменяет какой-либо объект данных, а другая транзакция в этот | ||
м. измениться декомпозиция КС на множество субъектов и множество | момент читает данные из того же объекта. Так как первая | ||
объектов. Т.о. процесс функ-я КС нестационарный. 1.Понятие | транзакция еще не завершена, и, следовательно, не проверена | ||
политики и моделей безопасности информации в КС. | согласованность данных после проведенных, или вовсе еще только | ||
57 | 57. Отличия пользователя от субъекта Пользователь - лицо, | частично проведенных изменений, то вторая транзакция может | |
внешний фактор, управляющий одним или несколькими субъектами, | "видеть" соответственно несогласованные, т.е. | ||
воспринимающий объекты и получающий информацию о состоянии КС | "грязные" данные. Неповторяющиеся чтения - когда одна | ||
через субъекты, которыми он управляет. Свойства субъектов: | транзакция читает какой-либо объект базы данных, а другая до | ||
-угрозы информации исходят от субъектов, изменяющих состояние | завершения первой его изменяет и успешно фиксируется. Если при | ||
объектов в КС -субъекты-инициаторы могут порождать через | этом первой, еще не завершенной, транзакции требуется повторно | ||
объекты-источники новые объекты -субъекты могут порождать потоки | прочитать данный объект, то она "видит" его в другом | ||
(передачу) информации от одних объектов к другим. 1.Понятие | состоянии, т.е. чтение не повторяется. 4. Мониторы транзакций в | ||
политики и моделей безопасности информации в КС. | СУБД «Клиент-сервер». | ||
58 | 58. - Объекты-источники; - объекты-данные. Множество | 195 | 195. Механизмы изоляции транзакций и преодоления ситуаций |
объектов можно разделить на два непересекающихся подмножества. | несогласованной обработки данных. Синхронизационные захваты | ||
Определение 1.Объект Oi называется источником для субъекта Sm | (блокировки) объектов базы данных. Два основных режима захватов. | ||
если существует субъект Sj , в результате воздейст- вия которого | Совместный режим (shared) - захват по чтению. Монопольный режим | ||
на объект Oi возникает субъект Sm Sj – активизирующий субъект | (exclusive) - захват по записи. Двухфазный протокол | ||
для субъекта Sm Sm – порожденный субъект. Create(Sj , Oi)? Sm. | синхронизационных захватов (блокировок) объектов базы данных – | ||
Определение 2.Объект в момент времени tk ассоциирован с | 2PL (Two–Phase Locks). 1-я фаза - транзакция запрашивает и | ||
субъектом , если состояние объекта Oi повлияло на состояние | накапливает захваты необходимых объектов в соответствующем | ||
субъекта Sm в след. момент времени tk+1. (т.е. субъект Sm | режиме. "Гранулирование" объектов захвата. 2-я фаза – | ||
использует информацию, содержащуюся в объекте Oi). Можно | выполнение операций над захваченными объектами, фиксация | ||
выделить: - множество функционально-ассоциированных объектов - | изменений (или откат по соображениям целостности данных), | ||
множество ассоциированных объектов-данных с субъектом Sm в | освобождение захватов. Автоматическое обнаружение | ||
момент времени tk. 1.Понятие политики и моделей безопасности | (распознавание) тупиковых ситуаций на построении и анализе графа | ||
информации в КС. Субъектно-объектная модель Щербакова. | ожидания транзакций. Временные метки объектов базы данных. 4. | ||
Функционирование КС – нестационарный процесс, но в | Мониторы транзакций в СУБД «Клиент-сервер». Возможность | ||
субъектно-объектной модели КС действует дискретное время ti. В | возникновения тупиковых ситуаций (Deadlock). | ||
любой момент времени ti множество субъектов, | 196 | 196. Механизмы изоляции транзакций и преодоления ситуаций | |
объектов-источников, объектов-данных фиксировано!!! Следствие | несогласованной обработки данных. Временные метки объектов базы | ||
2.1. В момент порождения объект-источник является | данных. Каждой транзакции приписывается временная метка, | ||
ассоциированным с порожденным субъектом. | соответствующая моменту начала выполнения транзакции. При | ||
59 | 59. Определение 3.Потоком информации между объектом Oi и | выполнении операции над объектом транзакция | |
объектом Oj называется называется произвольная операция над | "помечает"его своей меткой и типом операции (чтение | ||
объектом Oj, осуществляемая субъектом Sm , и зависящая от | или изменение). Если другой транзакции требуется операция над | ||
объекта Oi. Stream(Sm ,Oi)? Oj. – Потоки информации м.Б. Только | уже "помеченным" объектом, то выполняются действия по | ||
между объектами (а не между субъектом и объектом) – объекты м.Б. | следующему алгоритму: Более частые откаты транзакций, но | ||
Как ассоциированы, так и не ассоциированы с субъектом sm – | отсутствие тупиков. 4. Мониторы транзакций в СУБД | ||
операция порождения потока локализована в субъекте и | «Клиент-сервер». Проверяется, не закончилась ли транзакция, | ||
сопровождается изменением состояния ассоциированных | первой "пометившая" объект; если первая транзакция | ||
(отображающих субъект) объектов – операция stream может | закончилась, то вторая транзакция помечает его своей меткой и | ||
осуществляться в виде "чтения", "записи", | выполняет необходимые операции; если первая транзакция не | ||
"уничтожения", "создания" объекта. | закончилась, то проверяется конфликтность операций (конфликтно | ||
Определение 4.Доступом субъекта к объекту Oj называется | любое сочетание, кроме "чтение–чтение"); если операции | ||
порождение субъектом Sm потока информации между объектом Oj и | неконфликтны, то они выполняются для обеих транзакций, а объект | ||
некоторым(и) объектом Oi (в т.ч., но не обязательно, объект Oi | до завершения операций помечается меткой более поздней, т.Е. | ||
ассоциирован с субъектом Sm). Определение 5.Правила | Более молодой транзакции; если операции конфликтны, то далее | ||
разграничения доступа, задаваемые политикой безопасности, есть | происходит откат более поздней транзакции и выполняется операция | ||
формально описанные потоки, принадлежащие множеству PL . | более ранней (старшей) транзакции, а после ее завершения, объект | ||
1.Понятие политики и моделей безопасности информации в КС. Будем | помечается меткой более молодой транзакции и цикл действий | ||
считать, что все множество потоков информации P (объединение | повторяется. | ||
всех потоков во все tk) разбито на два подмножества - множество | 197 | Лекция 2.7. Методы и технологии обеспечения доступности | |
потоков PL , характеризующих легальный доступ - множество | (сохранности) данных. Тема 2. Модели безопасности компьютерных | ||
потоков PN, характеризующих несанкционированный доступ. | систем. ? Гайдамакин Н.А., 2008г. ГОС 075200 «Компьютерная | ||
60 | 60. Аксиома 4. Все вопросы безопасности информации в КС | безопасность» ОПД.Ф.10 "Теоретические основы компьютерной | |
описываются доступами субъектов к объектам. Аксиома 5. Субъекты | безопасности" Презентация предназначена для отработки и | ||
в КС могут быть порождены только ак- тивной компонентой | закрепления лекционного материала студентами группы КБ МатМех | ||
(субъектами же) из объектов. Аксиомы защищенности компьютерных | УрГУ. Распространение и передача презентации третьим лицам | ||
систем. 1.Понятие политики и моделей безопасности информации в | запрещается. | ||
КС. | 198 | 1. Резервирование архивирование и журнализация данных 2. | |
61 | 61. Политики безопасности компьютерных систем. - Множество | Технологии и системы репликации данных. Учебные вопросы: 198. | |
PL задается явным образом внешним по отношению к системе | Литература: 1. Гайдамакин Н.А. Разграничение доступа к | ||
фактором в виде указания дискретного набора троек | информации в компьютерных системах. – Екатеринбург: изд-во Урал. | ||
"субъект-поток(операция)-объект" - Множество PL | Ун- та, 2003. – 328 с. 2. Смирнов С.Н. Безопасность систем баз | ||
задается неявным образом через предоставление субъектам неких | данных. – М.: Гелиос-АРВ, 2007. – 352с. 3. Гайдамакин Н.А. | ||
полномочий (допуска, мандата) порождать определенные потоки над | Автоматизированные информационные системы, базы и банки данных. | ||
объектами с определенными характеристиками конфиденциальности | Вводный курс: Учебное пособие. – М.: Гелиос-АРВ, 2002. – 308с. | ||
(метками, грифами секретности). - Множество PL задается через | 199 | 199. Безопасность Информации в КС (составляющие защищенного | |
введение в системе дополнительных абстрактных сущностей – ролей, | состояния информации). 1. Резервирование, архивирование и | ||
с которыми ассоциируются конкретные пользователи, и наделение | журнализации данных. Обеспечение правомерной доступности | ||
ролевых субъектов доступа на основе дискреционного или | информации. -отсутствие препятствий в правомерном доступе к | ||
мандатного принципа правами доступа к объектам системы. | данным (обеспечивается политикой и механизмами разграничения | ||
1.Понятие политики и моделей безопасности информации в КС. | доступа) -обеспечение сохранности файлов данных БД (профилактика | ||
62 | 62. Структура КС в программно-техническом аспекте. 2. | носителей, организационные меры) -восстановление данных в случае | |
Монитор (ядро) безопасности КС. Компонент доступа (система | программно-аппаратных сбоев, ошибочных действий пользователей | ||
ввода-вывода в ОС). Компонент представления (файловая система в | либо умышленных действий злоумышленников, приводящих у | ||
ОС). Компьютерная система. Защищенная компьютерная система. | уничтожению (потере, разрушению) файлов данных БД | ||
63 | 63. Полнота - монитор должен вызываться при каждом обращении | (резервирование/архивирование, журнализация данных, репликация | |
субъектов за сервисом к ядру системы и не д.б. никаких способов | БД). Обеспечение конфи-денциально-сти информа-ции. Обеспечение | ||
его обхода. Изолированность - монитор д.б. защищен от | целостности информации. Обеспечение доступности информации. | ||
отслеживания и перехвата своей работы. Верифицируемость - | 200 | 200. 1. Резервирование, архивирование и журнализации данных. | |
монитор д.б. проверяемым на выполнение своих функций, т.е. быть | Резервирование. «Горячее» резервирование. Архивирование. | ||
тестируемым (самотестируемым). Непрерывность - монитор должен | -организационно-технологическая система создания и обновления | ||
функционировать при любых штатных и нештатных (в т.ч. и в | (поддержания актуальности) копий файлов БД -установление и | ||
аварийных) ситуациях. Монитор безопасности реализует политику | поддержания режима размещения, хранения и использования | ||
безопасности на основе той или иной модели безопасности. | (доступа) копий БД для восстановления БД в случае сбоев и | ||
Требования к монитору безопасности. 2. Монитор (ядро) | разрушений -осуществляется либо средствами копирования файлов | ||
безопасности КС. | ОС, либо самой СУБД (специальными режимами работы СУБД или | ||
64 | 64. Особенности субъектно-объектной модели КС (определения | специальными утилитами СУБД). -постоянное и непрерывное | |
1, 2, 3 и 4) требуют структуризации монитора безопасности на две | функционирование 2-х или более равнозначных («зеркальных») копий | ||
компоненты: - монитор безопасности объектов (МБО) - монитор | БД в КС, относящихся к т.н. «системам реального времени» -все | ||
безопасности субъектов (МБС). Определение 6.Монитором | изменения данных одновременно и параллельно фиксируются в | ||
безопасности объектов (МБО) называется субъект, активизирующийся | зеркальных копиях БД -при сбое одной копии функционирование КС | ||
при возникновении потока между любыми объектами, порождаемым | обеспечивается другой «зеркальной» копией. -по сути другое | ||
любым субъектом, и разрешающий только те потоки, которые | название системы резервирования данных, поскольку из-за большого | ||
принадлежат множеству PL. Определение 7.Монитором безопасности | размера файлов БД, создание резервных копий осуществляется с | ||
субъектов (МБС) называется субъект, активизирующийся при любом | одновременным «сжатием» файлов данных -сохраненная и «сжатая» | ||
порождении субъектов, и разрешающий порождение субъектов только | копия БД называется «архивом» БД. | ||
для фиксированного подмножества пар активизирующих субъектов и | 201 | 201. 1. Резервирование, архивирование и журнализации данных. | |
объектов-источников. 2. Монитор (ядро) безопасности КС. | Журнализация данных. Изменения данных. Файлы БД. Архивная копия | ||
65 | 65. Защищенная компьютерная система. Гарантии выполнения | файлов БД. -система ведения специальных журналов текущих | |
политики безопасности обеспечиваются определенными требованиями | изменений данных для – а) аудита действий пользователей КС и б) | ||
к МБО и МБС, реализующими т.н. изолированную программную среду | для восстановления актуального состояния БД из существующего | ||
(ИПС). 2. Монитор (ядро) безопасности КС. | архива и произведенных с момента его создания изменений данных. | ||
66 | 66. Исх. тезис - при изменении объектов, функционально | Основной носитель БД. Отдельный от основного носитель. Отдельный | |
ассоциированных с субъектом монитора безопасности могут | от основного носитель. Файл журнала изменений данных. | ||
измениться свойства самого МБО и МБС, что м. привести к | 202 | 202. 1. Резервирование, архивирование и журнализации данных. | |
нарушению ПБ. Определение 8.Объекты Oi и Oj тождественны в | Обновление архивной копии файлов БД. Копирование на осн.носитель | ||
момент времени tk, если они совпадают как слова, записанные на | архивной копии файлов БД. Режимы журнализация данных. | ||
одном языке. Определение 9.Субъекты Si и Sj тождественны в | -синхронный (изменения данных синхронно с БД вносятся в журнал | ||
момент времени tk , если попарно тождественны все | изменений) -асинхронный (изменения данных в журнале фиксируются | ||
соответствующие ассоциированные с ними объекты. Определение | в по определенному графику или отдельным командам. | ||
10.Субъекты Si и Sj называются невлияющими друг на друга (или | 203 | 203. 2. Технологии и системы репликации данных. Реплика БД. | |
корректными относительно друг друга), если в любой момент | -особая копия БД для размещения на другом компьютере сети с | ||
времени отсутствует поток (изменяющий состояние объекта) между | целью автономной работы пользователей с одинаковыми | ||
любыми объектами Oi и Oj , ассоциированными соответственно с | (согласованными) данными общего пользования. Системы репликации | ||
субъектами Si и Sj , причем Oi не ассоциирован с Sj, а Oj не | данных. -разновидность технологий создания и функционирования | ||
ассоциирован с Si. 3. Гарантирование выполнения политики | распределенных КС -разновидность технологий обеспечения | ||
безопасности. ИПС. Следствие 9.1. Порожденные субъекты | сохранности и правомерной доступности информации -пользователи | ||
тождественны, если тождественны порождающие их субъекты и | КС работают на своих вычислительных установках с одинаковыми | ||
объекты-источники. (Изменение состояние объекта – не | (общими) данными, растиражированными по локальным БД -снимается | ||
тождественность в соотв. моменты времени). | проблема быстродействия и ресурсоемкости сервера КС. Основные | ||
67 | 67. Определение 11.Субъекты Si и Sj называются абсолютно | проблемы систем репликации. -Обеспечение непрерывности | |
невлияю- щими друг на друга (или абсолютно корректными | согласованного состояния данных -обеспечение непрерывности | ||
относительно друг друга), если дополнительно к условию | согласованного состояния структуры данных. | ||
определения 10 множества ассоциированных объектов указанных | 204 | 204. 2. Технологии и системы репликации данных. | |
субъектов не имеют пересечений. Утверждение 1.ПБ гарантированно | Программно-техническая структура систем репликации. Общая БД | ||
выполняется в КС, если: - МБО разрешает порождение потоков | (Реплика 1). Общая БД (Реплика 2). Вычислительная установка 1. | ||
только из PL; - все существующие в КС субъекты абсолютно | Ядро СУБД. Прикладной компонент 1. Изменения данных. Табл. 1. | ||
корректны относительно МБО и друг друга. МБО субъект. 3. | Табл. 1. Драйвер репликации. Файл сетев. конфигурации. SQL. SQL. | ||
Гарантирование выполнения политики безопасности. ИПС. ? ? ? | Файл сетев. конфигурации. Драйвер репликации. Прикладной | ||
Док-во: На практике только корректность относительно МБО. | компонент 2. Изменения данных. Ядро СУБД. Табл.2. Табл. 1. | ||
Достаточное условие гарантированного выполнения ПБ. | Вычислительная установка 2. | ||
68 | 68. Утверждение 2.Если в абсолютно изолированной КС | 205 | 205. 2. Технологии и системы репликации данных. Обеспечение |
существует МБО и порождаемые субъекты абсолютно корректны | непрерывности согласованного состояния данных. -Системы | ||
относительно МБО, а также МБС абсолютно коррек- тен относительно | синхронной репликации -системы асинхронной репликации. -любая | ||
МБО, то в КС реализуется доступ, описанный правилами | транзакция с любой рабочей станции сети осуществляется | ||
разграничения доступа (ПБ). 3. Гарантирование выполнения | одновременно на всех репликах БД (фиксация транзакции | ||
политики безопасности. ИПС. ? ? ? Док-во: На практике легче, чем | производится только тогда, когда она успешно завершается | ||
полная корректность субъектов относительно друг друга. | одновременно на всех репликах системы) -применяются аналогично | ||
Достаточное условие гарантированного выполнения ПБ. ? ? ? | клиент-серверным системам протоколы осуществления и фиксации | ||
69 | 69. Определение 12.КС называется замкнутой по порождению | транзакций. -Снижение быстродействия обработки данных вследствие | |
субъектов, если в ней действует МБС, разрешающий порождение | большого трафика данных в сети -«тупики» при осуществлении | ||
только фиксированного конечного подмножества субъектов для любых | транзакций (как в клиент-серверных системах). Режим синхронной | ||
объектов- источников при фиксированной декомпозиции КС на | репликации изменений данных. Проблемы и недостатки систем | ||
субъекты и объекты. Определение 13.Множество субъектов КС | синхронной репликации. | ||
называется изолированным (абсолютно изолированным), если в ней | 206 | 206. 2. Технологии и системы репликации данных. Обеспечение | |
действует МБС и субъекты из порождаемого множества корректны | непрерывности согласованного состояния данных. -транзакция на | ||
(абсолютно корректны) относительно друг друга и МБС. 3. | рабочих станциях осуществляются независимо друг от друга, в | ||
Гарантирование выполнения политики безопасности. ИПС. Следствие | результате допускается текущая несогласованность состояния | ||
13.1. Любое подмножество субъектов изолированной (абсолютно | данных -через определенные интервалы (по специальному графику, | ||
изолированной) КС, включающее МБО и МБС, также составляет | по специальным командам, в определенном, например во внерабочее, | ||
изолированную (абсолютно изолированную) программную среду. | время и т.д.) осуществляется синхронизация реплик БД -на рабочих | ||
Следствие 13.2. Дополнение изолированной (абсолютно | станциях КС м. создаваться специальные хранилища данных | ||
изолированной) КС субъектом, корректным (абсолютно корректным) | репликации «накапливающие» изменения данных, поступающие с | ||
относительно любого из числа входящих в ИПС субъектов, оставляет | других рабочих станций. -не могут применяться в КС, с высокой | ||
КС изолированной (абсолютно изолированной). Называют | динамикой изменения данных -в результате синхронизации реплик м. | ||
"Изолированной программной средой (ИПС)" | наблюдаться «потерянные изменения» при взаимном затирании | ||
70 | 70. Базовая теорема ИПС. Определение 16.Операция порождения | изменений одних и тех объектов на разных репликах. Режим | |
субъекта Create(Sj , Oi)? Sm называется порождением с контролем | асинхронной репликации изменений данных. Проблемы и недостатки | ||
неизменнос- ти объекта, если для любого момента времени tk>t0 | систем асинхронной репликации. | ||
, в который активизирована операция Create, порождение субъекта | 207 | 207. 2. Технологии и системы репликации данных. Обеспечение | |
Sm возможно только при тождественности объектов в | непрерывности согласованного состояния структуры данных. | ||
соответствующие моменты времени –Oi[tk]= Oi[t0]. Следствие 16.1. | -Системы с «главной» репликой -системы с частичными репликами. | ||
При порождении с контролем неизменности объектов субъекты, | -Одна из реплик объявляется «главной» и только на ней | ||
порожденные в различные моменты времени, тождественны Sm[t1]= | допускается изменение структуры данных (добавление/удаление | ||
Sm[t2]. При t1= t2 порождается один и тот же субъект. | таблиц, изменение схемы таблиц) -по принципу асинхронной | ||
Утверждение 3.Если в момент времени t0 в изолированной КС | репликации осуществляется тиражирование соответствующих | ||
действует только порождение субъектов с контролем неизменности | изменений структуры данных по всем репликам системы. -в каждой | ||
объекта и существуют потоки между объектами через субъекты, не | локальной БД определяются перечень реплицируемых объектов, в | ||
противоречащие условию корректности (абсолютной корректности) | результате локальные БД «одинаковы» только в определенной части | ||
субъектов, то в любой момент времени КС также остается | -синхронизация реплик может осуществляется в синхронном и | ||
изолированной (абсолютно изолированной). 3. Гарантирование | асинхронном (отложенном) режиме -могут создаваться | ||
выполнения политики безопасности. ИПС. Док-во: 1.Из условия абс. | распределенные КС с функционально обоснованной схемой ввода и | ||
корр. м.б. только такие потоки, которые изменяют состояние | тиражирования данных, например данные в таблицу «Документы» | ||
объектов, не ассоциированных в соотв. моменты времени с | вводятся в реплике секретариата и тиражируются по всем репликам, | ||
каким-либо субъектом. Отсюда не м.б. изменены объекты-источники. | находящихся в др. подразделениях, данные в таблицу «Сотрудники» | ||
2.Т.к. объекты-источники остаются неизменными, то мощность | - в реплике кадрового подразделения и т.д. Системы с «главной» | ||
множества порождаемых субъектов нерасширяемо, и тем самым | репликой. Системы с частичными репликами. | ||
множество субъектов КС остается изолированным. | 208 | Лекция 2.8. Политика и модели безопасности в распределенных | |
71 | 71. Проблемы реализации Изолированной программной среды. | КС. Лекция 2.8. Тема 2. Модели безопасности компьютерных систем. | |
повышенные требования к вычислительным ресурсам – проблема | ? Гайдамакин Н.А., 2008г. ГОС 075200 «Компьютерная безопасность» | ||
производительности нестационарность функционирования КС | ОПД.Ф.10 "Теоретические основы компьютерной | ||
(особенно в нач. момент времени) из-за изменения уровня | безопасности" Презентация предназначена для отработки и | ||
представления объектов (сектора-файлы) – проблема загрузки | закрепления лекционного материала студентами группы КБ МатМех | ||
(начального инициирования) ИПС сложность технической реализацией | УрГУ. Распространение и передача презентации третьим лицам | ||
контроля неизменности объектов - проблема целостности объектов и | запрещается. | ||
проблема чтения реальных данных. 3. Гарантирование выполнения | 209 | 209. Учебные вопросы: 1. Общие положения о политике | |
политики безопасности. ИПС. | безопасности в распределенных КС 2. Зональная модель | ||
72 | Лекция 2.1. Модели безопасности на основе дискреционной | безопасности в распределенных КС. | |
политики. Тема 2. Модели безопасности компьютерных систем. ? | 210 | 210. Три аспекта распределенности (с т.зр. политики и | |
Гайдамакин Н.А., 2008г. ГОС 075200 «Компьютерная безопасность» | субъектов обеспечения безопасности в КС). распределенность | ||
ОПД.Ф.10 "Теоретические основы компьютерной | защитных механизмов по программным модулям ядра системы (модули, | ||
безопасности" Презентация предназначена для отработки и | реализующие идентификацию/аутентификацию, управление доступом, | ||
закрепления лекционного материала студентами группы КБ МатМех | криптозащита) рапределенность информационного объекта, | ||
УрГУ. Распространение и передача презентации третьим лицам | ассоциированного с МБО, содержащего установки политики | ||
запрещается. | безопасности в КС распределенность субъектов и объектов доступа | ||
73 | 1.Общая характеристика политики дискреционного доступа | КС по различным вычислительным установкам (физическая | |
2.Пятимерное пространство Хартсона 3.Модели на основе матрицы | распределенность). 1. Общие положения о политике безопасности в | ||
доступа 4.Модели распространения прав доступа. Учебные вопросы: | распределенных КС. | ||
73. Литература: 1.Теория и практика обеспечения информационной | 211 | 211. -нейтрализация угроз безопасности в процедурах | |
безопасности / Под ред. П.Д. Зегжды. М.:Яхтсмен, 1996. - 302с 2. | идентификации/аутентификации с рабочих станций и при удаленном | ||
Грушо А.А.,Тимонина Е.Е.Теоретические основы защиты информации. | доступе пользователей АИС -нейтрализация угроз безопасности в | ||
М.:Яхтсмен, 1996. - 192с 3.Баранов А.П.,Борисенко Н.П.,Зегжда | линиях связи и телекоммуникациях -реализация политики привязки | ||
П.Д, Корт С.С.,Ростовцев А.Г. Математические основы | доступа пользователей с определенных рабочих станций, по | ||
информационной безопасности. - Орел, ВИПС, 1997.- 354с. | определенному временному графику -защита вывода информации из БД | ||
4.Прокопьев И.В., Шрамков И.Г., Щербаков А.Ю. Введение в | на внешние носители данных, в т.ч. на рабочих станциях АИС | ||
теоретические основы компьютерной безопасности : Уч. пособие. | -удаление остаточной информации на носителях при обработке | ||
М., 1998.- 184с. | данных на рабочих станциях -отношения доверия между сегментами | ||
74 | 74. Исходные понятия. Разграничение доступа к информации | (зонами) сети АИС -активный аудит действий пользователей. 1. | |
(данным) КС. Доступ к информации (данным). Методы доступы. Права | Общие положения о политике безопасности в распределенных КС. | ||
доступа. Политика (правила) разграничения доступа. 1. Общая | Дополнительные аспекты политики безопасности в распределенных | ||
характеристика политики дискреционного доступа. -разделение | АИС. | ||
информации АИС на объекты (части, элементы, компоненты и т. д.), | 212 | 212. Распределенные компьютерные системы. КС с | |
и организация такой системы работы с информацией, при которой | распределенной архитектурой, разделяемые на два и более | ||
пользователи имеют доступ только и только к той части информации | обособленных компонента, называемых локальными сегментами. Две | ||
(к тем данным), которая им необходима для выполнения своих | разновидности. Система взаимодействующих лок. сегментов. | ||
функциональных обязанностей или необходима исходя из иных | Система- внешняя среда. Два направления. 1. Общие положения о | ||
соображений -создание такой системы организации данных, а также | политике безопасности в распределенных КС. В основе 7-ми | ||
правил и механизмов обработки, хранения, циркуляции данных, | уровневая модель взаим-я откр. систем. Создание защитных | ||
которые обеспечивают функциональность КС и безопасность | механизмов, устойчивых как по отношению к внутренним, так и | ||
информации (ее конфиденциальность, целостность и доступность). | внешним угрозам. Синтез защитных механизмов от внешних угроз. | ||
-действия субъектов на объектами КС, вызывающие одно- | 213 | 213. Синтез защитных механизмов от внешних угроз - | |
двунаправленные информационные потоки. -виды действий (операций) | технологии межсетевого экранирования (анализ потока информации | ||
субъектов над объектами КС (чтение/просмотр, | сетевого уровня – пакетов с уникальной информацией отправителя и | ||
запись/модификация/добавление, удаление, создание, запуск и | получателя, и фильтрация по некоторым априорно-заданным | ||
т.п.). -методы доступа (действия, операции), которыми обладают | критериям). Создание защитных механизмов, устойчивых как по | ||
(наделяются, способны выполнять) субъекты над объектами КС. | отношению к внутренним, так внешним угрозам - политика и модель | ||
-совокупность руководящих принципов и правил наделения субъектов | безопасности системы взаимодействующих локальных сегментов. 1. | ||
КС правами доступа к объектам, а также правил и механизмов | Общие положения о политике безопасности в распределенных КС. | ||
осуществления самих доступов и реализации информационных | 214 | 214. Обособление (идентификация) сегмента два подхода – по | |
потоков. | критерию локализации (субъектов и объектов) в рамках некоторой | ||
75 | 75. Виды политик (правил, механизмов) разграничения доступа. | технической компоненты. – по критерию порождения одним общим | |
Политика дискреционного разграничения доступа. Политика | процессом (z.b. Монитор транзакций). – на основе единого | ||
мандатного разграничения доступа. Политика тематического | адресного пространства, в котором любой сущности (субъекту или | ||
разграничения доступа. Политика ролевого разграничения доступа. | объекту) присваивается уникальный глобальный идентификатор, и | ||
Политика временн?го разграничения доступа. Политика маршрутного | разделения адресного пространства на области, образующие | ||
доступа. 1. Общая характеристика политики дискреционного | (выделяющие) локальные сегменты КС. Понятие локального сегмента. | ||
доступа. -Разграничение доступа на основе непосредственного и | с т.зр. субъектно-объектной модели КС: обособленная совокупность | ||
явного предоставления субъектам прав доступа к объектам в виде | субъектов и объектов доступа. 1. Общие положения о политике | ||
троек «субъект-операция-объект». -Предоставление прав доступа | безопасности в распределенных КС. | ||
субъектов к объектам неявным образом посредством присвоения | 215 | 215. Понятие доступа в субъектно-объектной модели КС – поток | |
уровней (меток) безопасности объектам (гриф конфиденциальности, | информации между объектами локализуемый через субъект (его | ||
уровень целостности), субъектам (уровень допуска/полномочий) и | ассоциированные объекты). Удаленный доступ pout = Stream (sm , | ||
организация доступа на основе соотношения «уровень безопасности | oi) ? oj. 1. Общие положения о политике безопасности в | ||
субъекта-операция-уровень безопасности объекта». -Предоставление | распределенных КС. | ||
прав доступа субъектам к объектам неявным образом посредством | 216 | 216. Доступ к объектам в две фазы – вхождение в сегмент -- | |
присвоения тематических категорий объектам (тематические | «в свой» -- в доверяющий сегмент (удаленный доступ) – запрос и | ||
индексы) и субъектам (тематические полномочия) и организация | получение доступа по внутризональной политике доверяющего | ||
доступа на основе соотношения «тематическая категория | сегмента. Ядро. 1. Общие положения о политике безопасности в | ||
субъекта-операция-тематическая категория объекта». | распределенных КС. Ассоциированные объекты. Дополнительная | ||
-агрегирование прав доступа к объектам в именованные | политика инициализации субъектов удаленных доступов. | ||
совокупности (роли), имеющие определенный | 217 | 217. Предприятие/объект. Зона инф. ресурсов. Арх. зона. | |
функционально-технологический смысл в предметной области КС, и | Публ.зона (работа с клиентами). Распределенная ИС с | ||
наделение пользователей правом работы в КС в соответствующих | внутризональной и межзональной политикой безопасности. Для | ||
ролях. -предоставление пользователям прав работы в КС по | каждой зоны своя регламентация доступа/ вхождения сотрудников, | ||
определенному временному регламенту (по времени и длительность | др. лиц, перемещения документов. Определение 1. Зоной в | ||
доступа). -предоставление пользователям прав работы в КС при | распределенной ИВС называется совокупность подмножества | ||
доступе по определенному маршруту (с определенных рабочих | пользователей U (u1, u2,…, uN) , подмножества объектов доступа O | ||
станций). | (o1, o2,…, oM) и подмножества физических объектов V(v1,v2,…, vL) | ||
76 | 76. Общая характеристика политики дискреционного доступа. | , обособленных в локальный сегмент zk с отдельной | |
Модели и механизмы реализации дискреционного разграничения | (внутризональной) политикой безопасности. 2. Зональная модель | ||
доступа. 1. Общая характеристика политики дискреционного | безопасности. Произв. зона. Складск. зона. | ||
доступа. множество легальных (неопасных) доступов PL задается | 218 | 218. Теоретико-множественная формализация зональной | |
явным образом внешним по отношению к системе фактором в виде | политики. Fphys : V? Z – значением функции z = fphys(v) | ||
указания дискретного набора троек | является зона z ? Z, в которой находится (которой принадлежит) | ||
"субъект-поток(операция)-объект"; -права доступа | физический объект v ? V; fuser : U? Z – значением функции z = | ||
предоставляются («прописываются» в специальных информационных | fuser(u) является зона z ? Z, в которой уполномочен | ||
объектах-стуктурах, ассоциированных с монитором безопасности), | (зарегистрирован) для работы пользователь u ? U; ffobject : O? V | ||
отдельно каждому пользователю к тем объектам, которые ему | – значением функции v = ffobject(o) является физический объект | ||
необходимы для работы в КС; -при запросе субъекта на доступ к | v? V, в котором находится (физически размещается) объект o ?O. | ||
объекту монитор безопасности, обращаясь к ассоциированным с ним | Частичный порядок доверия на множестве зон (возможность | ||
информационным объектам, в которых «прописана» политика | удаленных доступов). Одностороннее доверие: z1> z2 ? P | ||
разграничения доступа, определяет «легальность» запрашиваемого | outL(z1 ? z2) ? ? ? P outL(z1 ? z2) = ? Двустороннее доверие: | ||
доступа и разрешает/отвергает доступ. Различаются: -в | z1= z2 ? P outL(z1 ? z2) ? ? ? P outL(z1 ? z2) = ? Отсутствие | ||
зависимости от принципов и механизмов программно-информационной | доверия: z1 ? z2 ? P outL(z1 ? z2) = ? ? P outL(z1 ? z2) = ? 2. | ||
структуры объекта(объектов), ассоциированных с монитором | Зональная модель безопасности. | ||
безопасности, в которых хранятся «прописанные» права доступа | 219 | 219. Примеры реализации общесетевой политики политики | |
(тройки доступа) -в зависимости от принципа управления правами | безопасности в распределенных КС (сетях) – модель безопасности | ||
доступа, т.е. в зависимости от того – кто и как | Варадхараджана (Varadharadjan, 1990) для распределенной сети – | ||
заполняет/изменяет ячейки матрицы доступа (принудительный и | доменно-групповая политика безопасности в сетях на основе | ||
добровольный принцип управления доступом) Выделяют: | Windows NT. Политика безопасности в распределенных КС. | ||
-теоретико-множественные (реляционные) модели разграничения | 220 | 220. Двустороннего доверия – пользователи одного сегмента | |
доступа (пятимерное пространство Хартсона, модели на основе | могут получать доступ к объектам другого сегмента и наоборот | ||
матрицы доступа) -модели распространения прав доступа (модель | Одностороннего доверия – пользователи одного сегмента могут | ||
Харисона-Рузо-Ульмана, модель типизованной матрицы доступа, | получать доступ к объектам другого сегмента, но наоборот нет. | ||
теоретико-графовая модель TAKE-GRANT). | -Внутризональная политика безопасности -Межзональная политика | ||
77 | 77. Система защиты -пятимерное пространство на основе | безопасности (политика взаимодействия). Политика безопасности в | |
следующих множеств: U - множество пользователей; R - множество | системе взаимодействующих сегментов. Политика взаимодействия. | ||
ресурсов; E - множество операций над ресурсами; S - множество | Внутр. пользователи лок. Сегмента 1. Внутр. пользователи лок. | ||
состояний системы; A - множество установленных полномочий. | Сегмента 2. Политика безопасности в распределенных КС. | ||
Процесс организации доступа по запросу осуществляется по | Взаимодействие Безопасный канал связи. | ||
следующему алгоритму: Декартово произведение A?U?E?R?S - область | 221 | Лекция 3.1. Методы, критерии и шкалы оценки защищенности | |
безопасного доступа. Запрос пользователя на доступ представляет | (безопасности). Тема 3. Методы анализа и оценки защищенности | ||
собой 4-х мерный кортеж: q = (u,e,R',s), где R' - требуемый | компьютерных систем. ? Гайдамакин Н.А., 2008г. ГОС 075200 | ||
набор ресурсов. 1.Вызвать все вспомогательные программы для | «Компьютерная безопасность» ОПД.Ф.10 "Теоретические основы | ||
предварительного принятия решения. 2.Определить те группы | компьютерной безопасности" Презентация предназначена для | ||
пользователей, в которые входит u, и выбрать из A те | отработки и закрепления лекционного материала студентами группы | ||
спецификации полномочий P=F(u), которым соответствуют выделенные | КБ МатМех УрГУ. Распространение и передача презентации третьим | ||
группы пользователей. Набор полномочий P=F(u) определяет | лицам запрещается. | ||
т.н.привилегию пользователя. 2. Пятимерное пространство | 222 | Учебные вопросы: 222. 1. Общая характеристика измерения | |
Хартсона. Элементы множества A - aijkl специфицируют: - Ресурсы | (оценки) эмпирических объектов 2. Показатели защищенности | ||
- вхождение пользователей в группы; разрешенные операции для | СВТ/СУБД и классификация АС/АИС по требованиям защиты от НСД к | ||
групп по отношению к ресурсам; | информации 3. Критерии оценки безопасности информационных | ||
78 | 78. 3.Определить из множества A набор полномочий P=F(e), | технологий. Профили защиты СУБД. Литература: 1. Гайдамакин Н.А. | |
которые устанавливают e, как основную операцию. Набор полномочий | Разграничение доступа к информации в компьютерных системах. – | ||
P=F(e) определяет привилегию операции. 2. Пятимерное | Екатеринбург: изд-во Урал. Ун- та, 2003. – 328 с. 2. Смирнов | ||
пространство Хартсона. | С.Н. Безопасность систем баз данных. – М.: Гелиос-АРВ, 2007. – | ||
79 | 79. На основе P=F(u), P=F(e) и P=F(R') образуется т.н. домен | 352с. 3. Гайдамакин Н.А. Автоматизированные информационные | |
полномочий запроса: D(q)= F(u)?F(e)?P=F(R'). 4.Определить из | системы, базы и банки данных. Вводный курс: Учебное пособие. – | ||
множества A набор полномочий P=F(R'), разрешающих доступ к | М.: Гелиос-АРВ, 2002. – 308с. | ||
набору ресурсов R'. Набор полномочий P=F(R') определяет | 223 | 223. 1. Общая характеристика измерения (оценки) эмпирических | |
привилегию ресурсов. 2. Пятимерное пространство Хартсона. | объектов. Физические (приборные) измерения. Внешние воздействия, | ||
80 | 80. 5.Убедиться, что запрашиваемый набор ресурсов R' | случайная природа физ.процессов измерения. Погрешность | |
полностью содержится в домене запроса D(q), т.е. любой r из | измерения. Процесс (испытание, сравнение) по отношению с | ||
набора R' хотя бы один раз присутствует среди элементов D(q). | эталоном. Результат измерения (образ на шкале измерений). | ||
6.Осуществить разбиение D(q) на эквивалентные классы, так, чтобы | Измерение. Шкала измерения S, R(si,sj). Эмпирическое множество | ||
в один класс попадали полномочия (элементы D(q)), когда они | объектов с отношениями A, R(ai,aj). Наблюдае-мые (физические). | ||
специфицируют один и тот же ресурс r из набора R'. В каждом | Свойства/качества/признаки. Выбор шкалы (шкалирование). | ||
классе произвести операцию логического ИЛИ элементов D(q) с | Погрешность оценки. Модель объекта. Результат оценки (образ на | ||
учетом типа операции e. В результате формируется новый набор | шкале оценки). Ненаблю- даемые. Эмпири-ческий объект. Оценка. | ||
полномочий на каж-дую единицу ресурса, указанного в D(q) - | Шкала оценки S, R(si,sj). Исследование, вычисление (оценка). | ||
F(u,q).Набор F(u,q) назы-вается привилегией пользователя u по | Неполная (частичная) адекватность модели и шкалы. Полный или | ||
отношению к запросу q. 2. Пятимерное пространство Хартсона. | частичный гоморфизм. ai r aj. si r sj. | ||
Авторизация. | 224 | 224. 1. Общая характеристика измерения (оценки) эмпирических | |
81 | 81. 7.Вычислить условие фактического доступа (EAC), | объектов. Шкалы номинального (назывного) типа. -Только для | |
соответствующее запросу q , через операции логического ИЛИ по | различения объектов (z.B. Номера телефонов, автомобилей, коды | ||
элементам полномочий F(u,q) и запрашиваемым ресурсам r из набора | городов, объектов и т.П.); -Не воспроизводят никаких отношений | ||
R', и получить тем самым набор R'' - набор фактически доступных | (порядка и т.Д.) Кроме отношений различия/эквивалентности (если | ||
по запросу ресурсов. 8.Оценить EAC и принять решение о доступе: | ai ? aj , то si ? sj ; если ai ? aj , то si ? sj ); -могут | ||
- разрешить доступ, если R'' и R' полностью перекрываются; - | применяться для классификации объектов (номера/идентификаторы | ||
отказать в доступе в противном случае. 9.Произвести запись | классов – результаты классификационного шкалирования объектов). | ||
необходимых событий. 10.Вызвать все программы, необходимые для | Шкалы порядкового (рангового) типа. -воспроизводят отношения | ||
организации доступа после "принятия решения". | порядка (строгого) и эквивалентности (если ai ? aj , то si ? sj | ||
11.Выполнить все вспомогательные программы, вытекающие для | ); -обеспечивают упорядочение объектов по измеряемым | ||
каждого случая по п.8. 12.При положительном решении о доступе | (анализируемым/оцениваемым) свойствам (z.b. шкала твердости | ||
завершить физическую обработку. Но!!! Безопасность системы в | минералов Ф.Мооса, шкалы силы ветра, шкалы силы землетрясения, | ||
строгом смысле не доказана. 2. Пятимерное пространство Хартсона. | шкалы сортности товаров, шкалы оценки знаний); -результаты | ||
82 | 82. Система защиты -совокупность следующих множеств: - | измерений/оценок не являются числами в полном смысле – не могут | |
множество исходных объектов O (o1,o2,…,oM) - множество исходных | складываться, умножаться и т.д.); -из одной порядковой шкалы | ||
субъектов S (s1,s2,…,sN) , при этом S ? O - множество операций | другая эквивалентная м.б. получена в результате | ||
(действий) над объектами Op (Op1 ,Op2 ,…,OpL) - множество прав, | монотонно-возрастающего преобразования. | ||
которые м.б. даны субъектам по отношению к объектам R | 225 | 225. 1. Общая характеристика измерения (оценки) эмпирических | |
(r1,r2,…,rK) – т.н. "общие права" - NxM матрица | объектов. Шкалы интервалов. Шкалы отношений. -Воспроизводят | ||
доступа A, в которой каждому субъекту соответствует строка, а | только отношения степени сравнения эмп. Объектов (во сколько | ||
каждому объекту - столбец. В ячейках матрицы располагаются права | раз); результаты измерений при преобразованиях подобия f(x)=ax, | ||
r соотв.субъекта над соотв. объектом в виде набора разрешенных | a?0 сохраняют неизменными степени отношений объектов (примеры: | ||
операций Opi. A[si,oj]= aij - право r из R (т.Е. Не общее, а | шкалы измерения масс и длин предметов); -Воспроизводят кроме | ||
конкр. Право). Каждый элемент прав rk специфицирует совокупность | отношений эквивалентности и порядка (больше/меньше), еще и | ||
операций над объектом rk ? (Op1k,Op2k,…,OpJk). 3. Модели на | отношения интервалов (сколько между объектами); результаты | ||
основе матрицы доступа. | измерений при линейных преобразованиях сохраняют неизменными | ||
83 | 83. Две разновидности моделей в зависимости от того, каким | интервалы между объектами измерения. -соответственно одна шкала | |
образом заполняются ячейки матрицы доступа A. Выделяют: Системы | из другой м.б. получена путем линейного преобразования (z.b. | ||
с принудительным управлением доступа; системы с добровольным | шкалы температур Цельсия, Фаренгейта). -Эквивалентные шкалы | ||
управлением доступом. - Вводится т.Н.Доверенный субъект | измерения отношений, получаемые одна из другой преобразованиям | ||
(администратор доступа), который и определяет доступ субъектов к | подобия имеют общую (нулевую) точку отсчета (примеры: шкалы | ||
объектам (централизованный принцип управления). - Вводится т.Н. | измерения масс и длин предметов). | ||
Владение (владельцы) объектами и доступ субъектов к объекту | 226 | 226. 1. Общая характеристика измерения (оценки) эмпирических | |
определяется по усмотрению владельца (децентрализованный принцип | объектов. Шкалы разностей. -Как и шкалы интервалов воспроизводят | ||
управления). Принудительное управление доступом. - В таких | отношения интервалов и (на сколько один объект превосходит по | ||
системах заполнять и изменять ячейки матрицы доступа может | измеряемому свойству другой объект), но не выражают отношения | ||
только администратор. Добровольное управление доступом. - В | степеней сравнения; результаты измерений при преобразованиях | ||
таких системах субъекты посредством запросов могут изменять | сдвига f(x)=x+b сохраняют неизменными разности измеряемых | ||
состояние матрицы доступа. 3. Модели на основе матрицы доступа. | величин объектов (примеры: шкалы измерения масс и длин | ||
Жесткость, но и более четкий контроль. Гибкость, но и сложность | предметов); -эквивалентные шкалы измерения отношений получаются | ||
контроля. | одна из другой преобразованиям сдвига (примеры: шкалы прироста | ||
84 | 84. Способы организации информационной структуры матрицы | продукции, шкалы увеличения численности чего-либо, шкалы | |
доступа. 3. Модели на основе матрицы доступа. Централизованная | летоисчисления). Абсолютные шкалы. -характеризуют единственность | ||
единая информационная структура. Децентрализованная | отображения измеряемых объектов в определенную (естественную, | ||
распределенная информационная структура. Субд. Биты защиты | абсолютную шкалу); -воспроизводят любые отношения между | ||
(UNIX). Владелец. Группа. Остальные польз-ли. Системная таблица | измеряемыми объектами (различия/эквивалентности, порядка, | ||
с назначениями доступа. | степени, интервалов, разности). Пример: - шкалы измерения | ||
85 | 85. … Два способа размещения ACL. Структура списков доступа | количества объектов. | |
на примере NTFS. C каждым объектом NTFS связан т.Н. Дескриптор | 227 | 227. 1. Общая характеристика измерения (оценки) эмпирических | |
защиты, состоящий из: 3. Модели на основе матрицы доступа. | объектов. Оценки (измерения) сложных объектов. | ||
Объект 1. Объект 2. DACL – последовательность произв. кол-ва | 228 | 228. Стандартизация. Стандарт. 1. Стандартизация требований | |
элементов контроля доступа – АСЕ, вида: SACL – данные для | к архитектуре, функциям и критериям оценки подсистем | ||
генерации сообщений аудита. Списки доступа в файловой системе ОС | безопасности в АИС. - Разработка и применение | ||
Windows (Access Control List – ACL). Объекты д.б. | нормативно-технических и нормативно-методических документов в | ||
зарегистрированы в системе. Д.б. обеспечен контроль целостности | целях достижения упорядоченности в сферах разработки, | ||
ACL. ID влад. ID перв. Гр. Влад. DACL. SACL. Список дискр. | производства и обращения изделий, продукции, строений, | ||
контроля доступа. Системный список контроля доступа. Allowed / | сооружений, систем, процессов, процедур, работ или услуг. - | ||
Denied. ID субъекта (польз., Группа). Права доступа (отображ-е). | Нормативно-технический документ, содержащий требования и | ||
Флаги, атрибуты. | характеристики к объекту стандартизации. Цели стандартизации. - | ||
86 | 86. В модели Харрисона-Руззо-Ульмана помимо элементарных | Повышение уровня безопасности жизни или здоровья граждан, | |
опе-раций доступа Read, Write и т.д., вводятся также т.н. | имущества физических или юридических лиц, государственного или | ||
прими-тивные операции Opk по изменению субъектами матрицы | муниципального имущества, экологической безопасности, | ||
доступа: Enter r into (s,o) - ввести право r в ячейку (s,o) | безопасности жизни или здоровья животных и растений; - повышение | ||
Delete r from (s,o) - удалить право r из ячейки (s,o) Create | уровня безопасности объектов с учетом риска возникновения | ||
subject s - создать субъект s (т.е. новую строку матрицы A) | чрезвычайных ситуаций природного и техногенного характера; - | ||
Create object o - создать объект o (т.е. новый столбец матрицы | обеспечение научно-технического прогресса; - повышение | ||
A) Destroy subject s - уничтожить субъект s Destroy object o - | конкурентоспособности продукции, работ, услуг; - рациональное | ||
уничтожить объект o. Состояние системы Q изменяется при | использование ресурсов; - обеспечение технической и | ||
выполнении команд C(?1, ?2, …), изменяющих состояние матрицы | информационной совместимости; - обеспечение сопоставимости | ||
доступа A. Команды инициируются пользователями-субъектами. | результатов исследований (испытаний) и измерений, технических и | ||
Command ?(x1,…xk) if r1 in A[s1,o1] and r2 in A[s2,o2] … then; | экономико-статистических данных; - обеспечение | ||
Op2 ; …; end. Xi – идентификаторы задействованных субъектов или | взаимозаменяемости продукции. | ||
объектов. 4.Модели распространения прав доступа. 4.1.Модель | 229 | 229. Стандарты в сфере безопасности ИТ. 1. Стандартизация | |
Харрисона-Руззо-Ульмана (модель HRU). Наиболее типичный | требований к архитектуре, функциям и критериям оценки подсистем | ||
представитель систем с добровольным управлением доступом - | безопасности в АИС. По типу объекта стандартизации. - система | ||
модель Харрисона-Руззо-Ульмана. Название. Структура команды. | (информационная, техническая, организационно-технологическая, | ||
[Условия] (необяз.). Операции. Разработана для исследования | аппаратная, криптографическая и т.д.) - ИТ-продукт - | ||
дискреционной политики. Команды с одной операцией – | ИТ-технологии (в т.ч. процессы, процедуры). По типу шкалы оценки | ||
монооперационные, с одним условием - моноусловные. | соответствия требованиям стандарта. - На основе номинальной | ||
87 | 87. Command "создать файл"(s, f): create object f | шкалы (соответствует/несоответствует) - на основе интервальной | |
; enter "own" into (s, f ) ; enter "read" | (количественной) шкалы (z.B. Вероятность обнаружения атаки ? | ||
into (s, f ) ; enter "write" into (s, f ) ; end. | 0,99) - на основе ранговой (качественной) шкалы (реализация | ||
Command «ввести право чтения"(s,s',f): if own ? (s, f ) ; | требований на «отлично», «хорошо», «удовлетворительно»; | ||
then enter r "read" into (s', f ) ; end. Основной | защищенность высокая, средняя, низкая, незначительная). В | ||
критерий безопасности -. Состояние системы с начальной | большинстве Стандартов защищенности используются | ||
конфигурацией Q0 безопасно по праву r, если не существует (при | номинально-ранговые шкалы (оценки). | ||
определенном наборе команд и условий их выполнения) | 230 | 230. Определяется шкала уровней (классов) защищенности. Для | |
последовательности запросов к системе, которая приводит к записи | каждого уровня (класса) защищенности устанавливается набор | ||
права r в ранее его не содержащую ячейку матрицы A[s,o]. | требований к объекту оценки по соответствующей тематики. 1. | ||
Формулировка проблемы безопасности для модели | Стандартизация требований к архитектуре, функциям и критериям | ||
Харрисона-Руззо-Ульмана: Существует ли какое-либо достижимое | оценки подсистем безопасности в АИС. Общая схема стандартов и | ||
состояние, в котором конкретный субъект обладает конкретным | руководящих документов по функциональным требованиям к | ||
правом доступа к конкретному объекту? (т.е. всегда ли возможно | защищенным КС на основе номинально-ранговых оценок защищенности | ||
построить такую последовательность запросов при некоторой | [безопасности]. Защищенность [безопасность]. | ||
исходной конфигурации когда изначально субъект этим правом не | 231 | 231. Единая шкала оценки безопасности для производителей, | |
обладает?). 4.Модели распространения прав доступа. 4.1.Модель | потребителей и экспертов. История создания стандартов | ||
Харрисона-Руззо-Ульмана (модель HRU). Примеры команд -. | информационной (компьютерной) безопасности. 1. Стандартизация | ||
88 | 88. Теорема 1. Проблема безопасности разрешима для | требований к архитектуре, функциям и критериям оценки подсистем | |
моно-операционных систем, т.е. для систем, в которых запросы | безопасности в АИС. 1.Критерии оценки надежных компьютерных | ||
содержат лишь одну примитивную операцию. Теорема 2. Проблема | систем (Оранжевая книга), NCSC МО США, 1983г. (по сетям - 1987, | ||
безопасности неразрешима в общем случае. Харрисон, Руззо и | по СУБД - 91) 2.Европейские критерии безопасности информационных | ||
Ульман показали : Выводы по модели Харрисона-Руззо-Ульмана: | технологий 1986г. (Гармонизированные критерии, 1991г.) (Франция, | ||
-данная модель в ее полном виде позволяет реализовать множество | Германия, Голландия, Англия) 3.Руководящие документы | ||
политик безопасности, но при этом проблема безопасности | Гостехкомиссии при России по защите от НСД к информации, 1992г. | ||
становится неразрешимой -разрешимость проблемы безопасности | 4.Федеральные критерии безопасности информационных технологий, | ||
только для монооперационных систем приводит к слабости такой | ANSI и АНБ США (1992г.) 5. Канадские критерии безопасности | ||
модели для реализации большинства политик безопасности (т.к. нет | компьютерных систем (1993г.) 6.Единые критерии безопасности | ||
операции автоматического наделения своими правами дочерних | информационных технологий, NCSC и АНБ США, 1996г. | ||
объектов, ввиду чего по правам доступа они изначально не | 232 | 232. 1. Стандартизация требований к архитектуре, функциям и | |
различимы). Док-во на основе моделирования системы машиной | критериям оценки подсистем безопасности в АИС. Порядок | ||
Тьюринга. 4.Модели распространения прав доступа. 4.1.Модель | использования и применения стандартов защищенности [стандартов | ||
Харрисона-Руззо-Ульмана (модель HRU). | ИБ]. 1.Определение (получение) функциональных требований к | ||
89 | 89. Проблема «троянских» программ. 4.Модели распространения | объекту разработки 2.Определение (получение) требований по | |
прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU). | уровню (классу) защищенности 3.Составление на основе ГОСТ | ||
Command "создать файл“ (s2,f): if write ? [s2, o2] ; then | 34.201-89 и соотв. Стандарта защищенности ТЗ на разработку | ||
create object f ; enter "read" into [s2, f ] ; enter | 4.Разработка (создание) объекта и реализация требований к | ||
"write" into [s2, f ] ; enter "execute" into | объекту 5.Оценка соответствия разработанного объекта | ||
[s2, f ]; if read ? [s1, o2] ; then enter "read" into | установленным требованиям и получение сертификата защищенности | ||
[s1, f ] ; if write ? [s1, o2] ; then enter "write" | по соотв. классу (уровню). 1.Потребность в объекте в защищенном | ||
into [s1, f ] ; if execute ? [s1, o2] ; then enter | исполнении (или в СЗИ) 2.Определение (по нормативным | ||
"execute" into [s1, f ] ; end. Command “запустить | предписаниям или по решению руководителя) требуемого уровня | ||
файл"(s1, f ): if execute ? [s1, f ] ; then create subject | (класса) защищенности 3.Заказ на разработку или приобретение | ||
f ' ; enter "read“ into [f ',o1]; enter "read" | готового объекта (продукта) с сертификатом безопасности по | ||
into [f ',o3]; if write ? [s1,o2] ; then enter “write“ into | соответствующему классу (уровню) 4.Приемка объекта в | ||
[f',o2]; end. Command “скопировать файл o3 программой f ' в o2“ | эксплуатацию (при соотв. нормативных предписаниях аттестация | ||
(f ',o3, o2): if read ? [f ', o3] and write ? [f ', o2] then | объекта в защищенном исполнении). 1.Получение заявки на | ||
create object o'; write (f ', o3 , o'); if read ? [s2, o2] ; | сертификацию по определенному классу защищенности 2.Определение | ||
then enter "read" into [s2,o']; end. | по стандарту защищенности набора требований к объекту оценки | ||
90 | 90. Расширения модели HRU. Типизованная матрица доступа | 3.Разработка на основе ГОСТ 28195-89 и ГОСТ Р 51188-98 Программы | |
(Модель TAM) R. Sandhu,1992г. Вводится фиксированное количество | испытаний (исследований) 4.Испытания (исследования) и вынесение | ||
типов ?k (например, "user"- пользователь, | решения о соответствии объекта заявленному уровню (классу) | ||
'so"-офицер безопасности и "file"), которым могут | защищенности. | ||
соответствовать сущности КС (субъекты и объекты). Накладываются | 233 | 233. Сфера действия стандартов ИБ (защищенности) АИС. | |
ограничения на условия и соответствие типов в монотонных | Создание. Эксплуатация. Вывод из эксплуа- тации. 1. | ||
операциях (порождающие сущности) Смягчаются условия на | Стандартизация требований к архитектуре, функциям и критериям | ||
разрешимость проблемы безопасности. Command ?(x1:?1, x2:?2,…, | оценки подсистем безопасности в АИС. Проектирование. Исполь- | ||
xk: ?k). Анализ проблем безопасности в модели ТАМ основывается | зование. Админи стиро- вание, сопро вожде- ние. Реализация | ||
на понятии родительских и дочерних типов. Определение 1. Тип ?k | проектных решений. Внедрение, ввод в эксплуатацию. Международный | ||
является дочерним типом в команде созда- ния ?(x1:?1, x2:?2,…, | стандарт ISO/IEC 17799-2000. Информационные технологии. Свод | ||
xk:?k), если и только если имеет место один из следующих | правил по управлению защитой информации. BSI (Германский). РД | ||
элементарных операторов: "Create subject xk of type | Гостехкомиссии по защите от НСД ГОСТ Р ИСО/МЭК 15408-2002. | ||
?k" или "Create object xk of type ?k". В | Информационная технология. Методы и средства обеспечения | ||
противном случае тип ?k является родительским типом. Вводится | безопасности. Критерии оценки безопасности информационных | ||
Граф отношений наследственности. 4.Модели распространения прав | технологий. | ||
доступа. 4.2.Модель типизованной матрицы доступа (модель TAM). | 234 | 234. В основе РД от НСД – методология TCSEC (Оранжевая | |
91 | 91. Функционирование системы осуществляется через | книга). 2. Показатели защищенности СВТ/СУБД и классификация | |
последовательность следующих команд: v – дочерний тип в команде | АС/АИС по требованиям защиты от НСД к информации. Самый высокий | ||
?, в теле которой имеются еще типы u, w. Т.о. в Графе отношений | уровень защиты. В полном объеме. Средний уровень защиты. Низкий | ||
наследственности возникают дуги (u,v), (w,v) и в т.ч. (v,v). w – | уровень защиты. Незащищенные системы. | ||
дочерний тип в команде ?, в теле которой имеются еще типы u, v. | 235 | 235. СВТ - совокупность программных и технических элементов | |
Т.о. в Графе отношений наследственности возникают дуги (u,w), | систем обработки данных, способных функционировать | ||
(v,w) и в т.ч. (w,w). u – дочерний тип в команде ?, в теле | самостоятельно или в составе других систем. 2. Показатели | ||
которой имеются еще тип v. Т.о. возникают дуги (v,u) и в т.ч. | защищенности СВТ/СУБД и классификация АС/АИС по требованиям | ||
(u,u). 4.Модели распространения прав доступа. 4.2.Модель | защиты от НСД к информации. Схема РД ГосТехКомиссии России. СВТ. | ||
типизованной матрицы доступа (модель TAM). 0-й шаг – в системе | Защита от НСД к информации. Показатели защищенности от НСД к | ||
имеется субъект типа u - (s1:u). 1-й шаг. ?(S1:u, s2:w, o1:v): | информации. "Секретно", или собственность государства | ||
create object o1 of type v ; inter r into [s1, o1] ; create | - не ниже 4-го класса. в т.ч. общесистемные программные | ||
subject s2 of type w ; inter r' into [s2, o1] ; end. 2-й шаг. | средства, СУБД и ОС с учетом архитектуры ЭВМ. 7-классов | ||
?(S3:u, o1:v): create subject s3 of type u ; inter r'' into [s3, | защищенности в 4 группы по принципу разграничения доступа. | ||
o1] ; end. | 236 | 236. 2. Показатели защищенности СВТ/СУБД и классификация | |
92 | 92. Теорема 3. Проблема безопасности разрешима для | АС/АИС по требованиям защиты от НСД к информации. Структура | |
ацикличных реализаций МTAM. Также, как и в модели HRU, | функциональных требований по защите от НСД к СВТ. Система защиты | ||
используется понятие монотонной (МTAM) системы, которая не | от НСД к информации в СВТ (подсистемы и функциональные | ||
содержит примитивных операторов Delete и Destroy. Определение 2. | требования) ГОСТ Р 50739-95. | ||
Реализация МTAM является ацикличной тогда и только тогда, когда | 237 | 237. 2. Показатели защищенности СВТ/СУБД и классификация | |
ее граф отношений наследственности не содержит циклов. 4.Модели | АС/АИС по требованиям защиты от НСД к информации. Структура | ||
распространения прав доступа. 4.2.Модель типизованной матрицы | требований по классам защищенности СВТ. | ||
доступа (модель TAM). | 238 | 238. 2. Показатели защищенности СВТ/СУБД и классификация | |
93 | 93. Джонс, Липтон, Шнайдер, 1976г. Теоретико-графовая модель | АС/АИС по требованиям защиты от НСД к информации. Схема групп и | |
анализа распространения прав доступа в дискреционных системах на | классов защищенности АС от НСД. «Гостайна", или | ||
основе матрицы доступа. 1.Также как и в модели HRU система | собственность государства - не ниже 3А, 2А, 1А (для 1А с СВТ не | ||
защиты представляет совокупность следующих множеств: - множество | ниже 2кл.), 1Б (с СВТ не ниже 3 кл.), 1В (с СВТ не ниже 4-го | ||
исходных объектов O (o1,o2,…,oM) - множество исходных субъектов | кл.). Многопользовательские АС с информацией различного уровня | ||
S (s1,s2,…,sN), при этом S ? O - множество прав, которые м.б. | конфиденциальности и различным уровнем полномочий пользователей. | ||
даны субъектам по отношению к объектам (r1,r2,…,rK) ? {t, g}, в | Однопользовательские АС с информацией одного уровня | ||
том числе с двумя специфическими правами – правом take (t – | конфиденциальности. Многопользовательские АС с информацией | ||
право брать права доступа у какого-либо объекта по отношению к | различного уровня конфиденциальности и одинако- вым уровнем | ||
другому объекту) и правом grant (g – право предоставлять права | полномочий пользователей. | ||
доступа к определенному объекту другому субъекту) множеством E | 239 | 239. 2. Показатели защищенности СВТ/СУБД и классификация | |
установленных прав доступа (x, y, ?) субъекта x к объекту y с | АС/АИС по требованиям защиты от НСД к информации. Система защиты | ||
правом ? из конеч- ного набора прав. При этом сос- тояние | от НСД к информации в АС (подсистемы и функциональные | ||
системы представляется Графом доступов Г. 4.Модели | требования) ГОСТ Р 51583-2000, РД ГосТехКомиссии. АС. Защита от | ||
распространения прав доступа. 4.4.Теоретико-графовая модель | НСД к информации. Классификация АС и требования по защите | ||
TAKE-GRANT. | информации. | ||
94 | 94. Команда "Брать" – take(?, x, y, z). Команда | 240 | 240. Третья группа. 2. Показатели защищенности СВТ/СУБД и |
«Давать" – grant(?, x, y, z). 2.Состояние системы (Графа | классификация АС/АИС по требованиям защиты от НСД к информации. | ||
доступов) изменяется под воздействием элементарных команд 4-х | Общая характеристика классов защищенности АС. | ||
видов. субъект x берет права доступа ? ? ? на объект z у объекта | 241 | 241. Вторая группа. 2. Показатели защищенности СВТ/СУБД и | |
y (обозначения: ?с – переход графа Г в новое состояние Г' по | классификация АС/АИС по требованиям защиты от НСД к информации. | ||
команде c ; x? S; y, z? O). Субъект x дает объекту y право ? ? ? | Общая характеристика классов защищенности АС. | ||
на доступ к объекту z. 4.Модели распространения прав доступа. | 242 | 242. Первая группа. 2. Показатели защищенности СВТ/СУБД и | |
4.4.Теоретико-графовая модель TAKE-GRANT. | классификация АС/АИС по требованиям защиты от НСД к информации. | ||
95 | 95. Команда "Создать" – create(?, x, y). Субъект x | Общая характеристика классов защищенности АС. | |
создает объект y с правами доступа на него ? ? R (y – новый | 243 | 243. Первая группа. 2. Показатели защищенности СВТ/СУБД и | |
объект, O'=O ? {y}), в т. Ч. С правами t, или g, или {t, g}. | классификация АС/АИС по требованиям защиты от НСД к информации. | ||
Команда «Изъять" – remove(?, x, y). Субъект x удаляет права | Общая характеристика классов защищенности АС. | ||
доступа ? ? ? на объект y. 4.Модели распространения прав | 244 | 244. История создания «Общих критериев». 3. Критерии оценки | |
доступа. 4.4.Теоретико-графовая модель TAKE-GRANT. | безопасности информационных технологий. Профили защиты СУБД. | ||
96 | 96. 3. Безопасность системы рассматривается с точки зрения | 1.1990г. начало разработки Раб.гр. 3 Подкомитета 27 Первого | |
возможности получения каким-либо субъектом прав доступа к | технического комитета (JTCI|SC27|WG3) Международной организации | ||
определенному объекту (в начальном состоянии Г0 (O0, S0, E0) | по стандартизации (ISO) «Критериев оценки безопасности | ||
такие права отсутствуют) при определенной кооперации субъектов | информационных технологий» (Eva-luation Criteria for IT | ||
путем последовательного изменения состояния системы на основе | Security, ECITS) в качестве международного стандарта 2.1993г. | ||
выполнения элементарных команд. Рассматриваются две ситуации – | начало совместной разработки правительственными организациями | ||
условия санкционированного, т.е. законного получения прав | Канады, США, Великобритании, Германии, Нидерландов и Франции | ||
доступа, и условия «похищения» прав доступа. 3.1. | межгосударственного стандарта «Общие критерии оценки | ||
Санкционированное получение прав доступа. 4.Модели | безопасности информационных технологий» (Common Criteria for IT | ||
распространения прав доступа. 4.4.Теоретико-графовая модель | Security Evaluation), т.н. «Общие критерии», иди ОК (Common | ||
TAKE-GRANT. Определение 3. Для исходного состояния системы Г0 | Criteria) 3.1998г. опубликование и широкое открытое обсуждение | ||
(O0, S0, E0) и прав доступа ? ? R предикат "возможен | версии 2.0 ОК и ее принятие в августе 1999г. 4.Принятие и | ||
доступ(?, x, y, Г0 )" является истинным тогда и только | введение в действие с 1 декабря 1999г. Международного стандарта | ||
тогда, когда существуют графы доступов системы Г1 (O1, S1, E1), | ISO/IEC 15408 Information technology – Security techniques – | ||
Г2 (O2, S2, E2), …, ГN (ON, SN, EN), такие, что: Г0 (O0, S0, E0) | Evaluation Criteria for IT Security в 3-х частях: - Part 1: | ||
?с1 Г1 (O1, S1, E1) ?с2…?сN ГN (ON, SN, EN) и (x, y,?)? EN где | Introduction and general model. – ISO/IEC 15408-1.1999 - Part 2: | ||
c1, c2, …, cN – команды переходов. Определение 4. Вершины графа | Security functional requirements. – ISO/IEC 15408-2.1999 - Part | ||
доступов являются tg-связными (соединены tg-путем), если в графе | 3: Security assurance requirements. – ISO/IEC 15408-3/1999 | ||
между ними существует такой путь, что каждая дуга этого пути | 5.Принятие в 2002г. ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки | ||
выражает право t или g (без учета направления дуг). | безопасности информационных технологий» на основе идентичного | ||
97 | 97. Доказательство. Получение прав ? доступа субъектом x у | перевода ISO/IEC 15408-1999 с датой введения с 1 января 2004г. | |
субъекта s на объект y при различных вариантах непосредственной | 6.2002г. Принятие Руководящего документа ГосТехКомиссии России | ||
tg-связности. 4.Модели распространения прав доступа. | «Безопасность информационных технологий. Критерии оценки | ||
4.4.Теоретико-графовая модель TAKE-GRANT. Теорема 4. В графе | безопасности информационных технологий» на основе идентичного | ||
доступов Г0 (O0, S0, E0) , содержащем только вершины-субъекты, | текста ГОСТ Р ИСО/МЭК 15408-2002. | ||
предикат "возможен доступ(?, x, y, Г0 )" истинен тогда | 245 | 245. 3. Критерии оценки безопасности информационных | |
и только тогда, когда выполняются следующие условия: - | технологий. Профили защиты СУБД. Общая характеристика «Общих | ||
существуют субъекты s1,…,sm такие, что (si, y, ?i)?E0 для i=1, | критериев». 1. Регламентирует процессы создания и оценки | ||
…, m и ? =?1 ?…??m. - субъект х соединен в графе Г0 tg-путем с | (сертификации) изделий ИТ по требованиям безопасности 2.Объектом | ||
каждым субъектом si для i=1, …, m. | оценки (ОО) является продукт ИТ (совокупность средств ИТ, | ||
98 | 98. 4.Модели распространения прав доступа. | предоставляющих определенные функциональные возможности и | |
4.4.Теоретико-графовая модель TAKE-GRANT. Определение 5. | предназначенная для непосредственного использования или | ||
Островом в произвольном графе доступов Г (O, S, E ) называется | включения в различные системы) или система ИТ (специфическое | ||
его максимальный tg-связный подграф, состоящий только из вершин | воплощение информационных технологий с конкретным назначением и | ||
субъектов. | условиями эксплуатации) 3. Рассматривает ОО в контексте всех | ||
99 | 99. 4.Модели распространения прав доступа. | аспектов среды безопасности, которая в идеологии ОК включает: | |
4.4.Теоретико-графовая модель TAKE-GRANT. Теорема 4. В | -законодательную среду (затрагивающую ОО) -административную | ||
произвольном графе доступов Г0 (O0, S0, E0) предикат | среду (положения политик и программ безопасности, затрагивающие | ||
"возможен доступ(?, x, y, Г0 )" истинен тогда и только | ОО) -процедурно-технологическую среду (физ.среда, в т.ч. меры | ||
тогда, когда выполняются условия: - существуют объекты s1,…,sm | физической защиты, персонал и его свойства, эксплуатационные и | ||
такие, что (si, y, ?i)?E0 для i=1, …, m и ? =?1 ?…??m . - | иные процедуры, связанные с ОО) -программно-техническую среду (в | ||
существуют вершины-субъекты x1',…,xm' и s1',…,sm' такие, что: -- | которой функционирует ОО и его защищаемые активы) 4. | ||
х = хi' или хi' соединен с x начальным пролетом моста для i=1, | Устанавливает следующую структуру описания аспектов среды | ||
…, m; -- si = si' или si' соединен с si конечным пролетом моста | безопасности при задании требований безопасности к объекту ОО и | ||
для i=1, …, m. | его оценки: - предположения безопасности (выделяют ОО из общего | ||
100 | 100. 3.1. Похищение прав доступа. 4.Модели распространения | контекста, задают границы рассмотрения) - угрозы безопасности | |
прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT. | (те, ущерб от которых нуждается в уменьшении, по схеме: | ||
Определение 9. Для исходного состояния системы Г0 (O0, S0, E0) и | источник, метод воздействия, используемые уязвимости, | ||
прав доступа ? ? R предикат "возможно похищение(?, x, y, Г0 | ресурсы-активы на которые направлены) - положения политики | ||
)" является истинным тогда и только тогда, когда существуют | безопасности (в совокупности с предположениями безопасности | ||
графы доступов системы Г1 (O1, S1, E1), Г2 (O2, S2, E2), …, ГN | устанавливают точно для системы ИТ или в общих чертах для | ||
(ON, SN, EN) такие, что: Г0 (O0, S0, E0) ?с1 Г1 (O1, S1, E1) | продукта ИТ все другие аспекты среды безопасности). | ||
?с2…?сN ГN (ON, SN, EN) и (x, y,?)? EN где c1, c2, …, cN – | 246 | 246. 3. Критерии оценки безопасности информационных | |
команды переходов; при этом, если ? (s, y, ?) ? E0, то ? z ? Sj | технологий. Профили защиты СУБД. Общая характеристика «Общих | ||
, j=0,1,…, N выполняется: c1 ? grant(?, s, z, y). | критериев». Виды требований безопасности к продуктам и системам | ||
101 | 101. 4.Модели распространения прав доступа. | ИТ. Порядок установления требований безопасности к продуктам и | |
4.4.Теоретико-графовая модель TAKE-GRANT. Теорема 4. В | системам ИТ. Каталог (библиотека) требований ко всем возможным | ||
произвольном графе доступов Г0 (O0, S0, E0) предикат | видам продуктов или систем ИТ (ч.2 ОК). Профили защиты для | ||
"возможно похищение(?, x, y, Г0 )" истинен тогда и | конкретных видов изделий ИТ- ОС, СУБД, МЭ и т.д (подлежат | ||
только тогда, когда выполняются условия: - (x, y,?) ? E0. - | сертификации). Задание по безопасности при создании изделия ИТ | ||
существуют субъекты s1,…,sm такие, что (si, y, ?i)? E0 для i=1, | (является ОО наряду с самим ОО при сертификации ОО). 5. | ||
…, m и ? =?1 ?…??m - являются истинными предикаты "возможен | Регламентирует виды и порядок установления требований | ||
доступ(t, x, si, Г0)" для i=1, …, m. | безопасности к изделиям ИТ, порядок и структуру требований к | ||
102 | 102. Определение 10. Неявным информационным потоком между | оценки реализации установленных требований. | |
объектами системы называется процесс переноса информации между | 247 | 247. 3. Критерии оценки безопасности информационных | |
ними без их непосредственного взаимодействия (операции Read, | технологий. Профили защиты СУБД. Общая характеристика «Общих | ||
Write). 4.Модели распространения прав доступа. 4.5.Расширенная | критериев». 6. Регламентирует структуру и виды установления | ||
(extended) модель TAKE-GRANT. | требований безопасности к изделиям ИТ, порядок и структуру | ||
103 | 103. 2.Состояние Графа доступов изменяется под воздействием | требований к оценки реализации установленных требований в | |
элементарных команд 6-х видов (т.н. команды де-факто). Имеется | идеологии степени доверия на основе ранговой шкалы оценки к | ||
неявная возможность передачи (записи) [конфиденциальной] | реализации требований по безопасности Устанавливается 7 уровней | ||
информации из объекта y субъекту x, когда тот осуществляет | доверия (7-й – наивысший). Сертификаты с 1-го по 4-й признаются | ||
доступ r к объекту y. Имеется неявная возможность получения | всеми странами-участниками «Клуба ИСО 15408». Сертификаты | ||
(чтения) объектом y [конфиденциальной] информации от субъекта | 5-го-7-го уровней требуют подтверждения в национальных системах | ||
x], когда тот осуществляет доступ w к объекту y. 4.Модели | сертификации. 7.На основе утвержденных ПЗ разрабатываются | ||
распространения прав доступа. 4.5.Расширенная (extended) модель | (создаются) продукты ИТ и оцениваются на соответствие | ||
TAKE-GRANT. | требованиям безопасности. Оценка производится на основе | ||
104 | 104. 4.Модели распространения прав доступа. 4.5.Расширенная | применения т.н. оценочных уровней доверия (ОУД – ОУД1, | |
(extended) модель TAKE-GRANT. Субъект x получает возмож-ность | ОУД2,…,ОУД7)), представленных в стандарте. ОУД включают методы и | ||
чтения информации от (из) другого субъекта z, осуществляя доступ | содержание процедур по оценки объектов: ОУД1 – предусматривает | ||
r к объекту y, к которому субъект z осуществляет доступ w, а | функциональное тестирование ОУД2 – предусматривает структурное | ||
субъект z, в свою очередь, получает возможность записи своей | тестирование ОУД3 – предусматривает методическое тестирование и | ||
информации в субъект x. Субъект x получает возмож-ность чтения | проверку ОУД4 – предусматривает методическое проектирование, | ||
информации из объекта z, осуществляя доступ r к субъекту y, | тестирование и просмотр ОУД5 – предусматривает полуформальное | ||
который, в свою очередь, осуществляет доступ r к объекту z, при | проектирование и тестирование ОУД6 – предусматривает | ||
этом также у субъекта x возникает возможность записи к себе | полуформальную верификацию проекта и тестирование ОУД7 – | ||
информации из объекта z. | предусматривает формальную верификацию проекта и тестирование | ||
105 | 105. 4.Модели распространения прав доступа. 4.5.Расширенная | Содержание требований по ОУД основывается на совокупности т.н. | |
(extended) модель TAKE-GRANT. Субъект x получает неявн. | компонент доверия, объединяемых в 4 семейства гарантированности, | ||
Возможность передачи (записи) конф. Информации в объект z, | из которых, в свою очередь, складываются 7 классов | ||
осуществляя доступ w к субъекту y, который, в свою очередь, | гарантированности (гарантированность по управлению | ||
осуществляет доступ w к объекту z, при этом также у субъекта z | конфигурацией, по поставкам и эксплуатации, по разработке, по | ||
возникает неявн. Возможность чтения конф. Информации из субъекта | руководствам, по поддержке жизненного цикла, по тестированию, по | ||
x. При осуществлении субъек-том y доступа r к объекту z | оценке уязвимостей). | ||
возникает неявная возмож-ность внесения из него конф. Информации | 248 | 248. Иерархическая структура функциональных требований | |
в другой объект x, к которому субъект y осуществляет дос-туп w, | безопасности ИТ (ГОСТ Р ИСО/МЭК 15408-2002. Ч.2). 3. Критерии | ||
и, кроме того, возни-кает возможность получе-ния информации | оценки безопасности информационных технологий. Профили защиты | ||
(чтения) объектом x из объекта z. | СУБД. 11 классов, в каждом классе от 2-х до 16-ти семейств. | ||
106 | 106. 3. Анализ возможности возникновения неявного | 249 | 249. 3. Критерии оценки безопасности информационных |
информационного канала (потока) между двумя произвольными | технологий. Профили защиты СУБД. | ||
объектами (субъек-тами) x и y системы осуществляется на основе | 250 | 250. Иерархическая структура функциональных требований | |
поиска и построе-ния в графе доступов пути между x и y, | безопасности ИТ (ГОСТ Р ИСО/МЭК 15408-2002. Ч.2). 3. Критерии | ||
образованного мнимы-ми дугами, порождаемыми применением команд | оценки безопасности информационных технологий. Профили защиты | ||
де-факто к различным фрагментам исходного Графа доступов. | СУБД. 8. Выделяют: -классы, соответствующие элементарным | ||
4.Модели распространения прав доступа. 4.5.Расширенная | сервисам безопасности (FAU-аудит безопасности, | ||
(extended) модель TAKE-GRANT. - При допущении возможности или | FIA-идентификация/аутентификация, FRU-использование ресурсов) | ||
при наличии достоверных фактов о состоявшемся неявном | -производные классы, реализуемые на основе элементарных | ||
информационном потоке от одного объекта(субъекта) к другому | (FCO-связь, FPR-приватность) -классы, направленные на достижение | ||
объекту(субъекту), анализировать и выявлять круг возможных | высокоуровневых целей безопасности (FDP-защита данных | ||
субъектов-"заговорщиков" несанкционированного | пользователя, FPT-защита функций безопасности ОО) -классы, | ||
информационного потока. - для какой-либо пары объектов | играющие инфраструктурную роль (FCS-криптографическая поддержка, | ||
(субъектов) осуществлять анализ не только возможности неявного | FMT-управление безопасностью, FTA-доступ к ОО, FTP-доверенный | ||
информационного потока, но и количественных характеристик по | маршрут-канал) 9. Функциональные компоненты м.б. | ||
тому или иному маршруту: возможно взвешивание мнимых дуг на | самодостаточными или нуждаться в привлечении других компонент, | ||
Графе доступов посредством оценки вероятности их возникновения | что отражается в связях между компонентами. Включение в ПЗ | ||
возможны количественные сравнения различных вариантов | компонента требует включения и компонент по установленным | ||
возникновения неявного потока по длине пути на Графе доступов. - | зависимостям. | ||
Оптимизировать систему назначений доступа по критериям | 251 | 251. Классы функциональных требований безопасности ИТ (ГОСТ | |
минимизации возможных неявных информационных потоков. | Р ИСО/МЭК 15408-2002. Ч.2). 3. Критерии оценки безопасности | ||
107 | 107. Достоинства дискреционных моделей. Недостатки | информационных технологий. Профили защиты СУБД. | |
дискреционных моделей. Хорошая гранулированность защиты | Отказоустойчивость (FRU_FLT) Приоритет обслуживания (FRU_PRS) | ||
(позволяют управлять доступом с точностью до отдельной операции | Распределение ресурсов (FRU_RSA). Доверенный канал передачи | ||
над отдельным объектом) Простота реализации. Слабые защитные | между ФБО (FTP_ITC) Доверенный маршрут (FTP_TRP). Класс FAU. | ||
характеристики из-за невозможности для реальных систем выполнять | Аудит безопасности (6 семейств). Класс FCO. Связь (2 семейства). | ||
все ограничения безопасности Проблема "троянских | Автоматическая реакция аудита безопасности (FAU_ARP) Генерация | ||
коней" Сложности в управлении доступом из-за большого | данных аудита безопасности (FAU_GEN) Анализ аудита безопасности | ||
количества назначений прав доступа. | (FAU_SAA) Просмотр аудита безопасности (FAU_SAR) Выбор событий | ||
108 | Лекция 2.2. Модели безопасности на основе мандатной | аудита безопасности (FAU_SEL) Хранение данных аудита | |
политики. Тема 2. Модели безопасности компьютерных систем. ? | безопасности (FAU_STG). Класс FCS. Криптографическая поддержка | ||
Гайдамакин Н.А., 2008г. ГОС 075200 «Компьютерная безопасность» | (2 семейства). Неотказуемость отправления (FCO_NRO) | ||
ОПД.Ф.10 "Теоретические основы компьютерной | Неотказуемость получения (FCO_NRR). Класс FDP. Защита данных | ||
безопасности" Презентация предназначена для отработки и | пользователя (13 семейств). Управление криптографическими | ||
закрепления лекционного материала студентами группы КБ МатМех | ключами (FCS_CKM) Криптографические операции (FCS_COP). Класс | ||
УрГУ. Распространение и передача презентации третьим лицам | FIA. Идентификация и аутентификация (6 семейств). Ограничение | ||
запрещается. | области выбираемых атрибутов (FTA_LSA) Ограничение на | ||
109 | 1.Общая характеристика моделей полномочного (мандатного) | параллельные сеансы (FTA_MCS) Блокирование сеанса (FTA_SSL) | |
доступа 2.Модель Белла-ЛаПадулы 3.Расширения модели | Предупреждения перед предоставлением доступа к ОО (FTA_TAB) | ||
Белла-ЛаПадулы. Учебные вопросы: 109. Литература: 1. Зегжда | История доступа к ОО (FTA_TAH) Открытие сеанса с ОО (FTA_TSE). | ||
Д.П.,Ивашко А.М. Основы безопасности информационных систем. - | Класс FMT. Управление безопасностью (6 семейств). Отказы | ||
М.:Горячая линия - Телеком, 2000. - 452с 2. Грушо А.А.,Тимонина | аутентификации (FIA_AFL) Определение атрибутов пользователя | ||
Е.Е.Теоретические основы защиты информации. М.:Яхтсмен, 1996. - | (FIA_ATD) Спецификация секретов (FIA_SOS) Аутентификация | ||
192с 3.Прокопьев И.В., Шрамков И.Г., Щербаков А.Ю. Введение в | пользователя (FIA_UAU) Идентификация пользователя (FIA_UID) | ||
теоретические основы компьютерной безопасности : Уч. пособие. | Связывание пользователь-субъект (FIA_USB). Класс FPR. | ||
М., 1998.- 184с. 11.Девянин П.Н. Модели безопасности | Приватность (4 семейства). Управление отдельными функциями ФБО | ||
компьютерных систем: Учеб. пособие. – М.: Изд.центр «Академия», | (FMT_MOF) Управление атрибутами безопасности (FMT_MSA) | ||
2005. – 144 с. | Управление данными ФБО (FMT_MTD) Отмена (FMT_REV) Срок действия | ||
110 | 110. Основаны: на субъектно-объектной модели КС на правилах | атрибута безопасности (FMT_SAE) Роли управления безопасностью | |
организации секретного делопроизводства принятых в гос. | (FMT_SMR). Класс FPT. Защита функций безопасности объекта (16 | ||
учреждениях многих стран. Гл. задача: не допустить утечки | семейств). Анонимность (FPR_ANO) Псевдонимность (FPR_PSE) | ||
информации из документов с высоким грифом секретности к | Невозможность ассоциации (FPR_UNL) Скрытность (FPR_UNO). Класс | ||
сотрудникам с низким уровнем допуска. 1. Общая характеристика | FRU. Использование ресурсов (3 семейства). Класс FTA. Доступ к | ||
моделей мандатного доступа. | ОО (6 семейств). Класс FTP. Доверенный маршрут / канал (2 | ||
111 | 111. Основные положения моделей мандатного доступа. Вводится | семейства). Политика управления доступом (FDP_ACC) Функции | |
система "уровней безопасности" – решетка с оператором | управления доступом (FDP_ACF) Аутентификация данных (FDP_DAU) | ||
доминирования. Устанавливается функция (процедура) присваива-ния | Экспорт данных за пределы действия ФБО (FDP_ETC) Политика | ||
субъектам и объектам уровней безопасности. Управление и контроль | управления информационными потоками (FDP_IFC) Функции управления | ||
доступом субъектов к объектам производится на основе двух | информационными потоками (FDP_IFF) Импорт данных из-за пределов | ||
правил: 1.Запрет чтения вверх (no read up - NRU) - субъект не | действия ФБО (FDP_ITC) Передача в пределах ОО (FDP_ITT) Защита | ||
может читать объект с уровнем безопасности, большим своего | остаточной информации (FDP_RIP) Откат (FDP_ROL) Целостность | ||
уровня безопасности. 1. Общая характеристика моделей мандатного | хранимых данных (FDP_SDI) Защита конфиденциальности данных | ||
доступа. | пользователя при передаче между ФБО (FDP_UCT) Защита целостности | ||
112 | 112. 2.Запрет записи вниз (no write down - NWD) - субъект не | данных пользователя при передаче между ФБО (FDP_UIT). | |
может писать информацию в объект, уровень безопасности которого | Тестирование базовой абстрактной машины (FPT_AMT) Безопасность | ||
ниже уровня безопасности самого субъекта (т.н. *-свойство). Для | при сбое (FPT_FLS) Доступность экспортируемых данных ФБО | ||
управления (разграничения) доступом к объектам одного уровня | (FPT_ITA) Конфиденциальность экспортируемых данных ФБО (FPT_ITC) | ||
конфиденциальности используют дискреционный принцип, т.е. | Целостность экспортируемых данных ФБО (FPT_ITI) Передача данных | ||
дополнительно вводят матрицу доступа. Т.О. В моделях мандатного | ФБО в пределах ОО (FPT_ITT) Физическая защита ФБО (FPT_PHP) | ||
доступа устанавливается жесткое управление доступом с целью | Надежное восстановление (FPT_RCV) Обнаружение повторного | ||
контроля не столько операций, а потоков между сущностям с разным | использования (FPT_RPL) Посредничество при обращениях (FPT_RVM) | ||
уровнем безопасности. 1. Общая характеристика моделей мандатного | Разделение домена (FPT_SEP) Протокол синхронизации состояний | ||
доступа. | (FPT_SSP) Метки времени (FPT_STM) Согласованность данных ФБО | ||
113 | 113. Решетка уровней безопасности ?L. - алгебра (L, ?, ?, | между ФБО (FPT_TDC) Согласованность данных ФБО при дублировании | |
?), где L – базовое множество уровней безопасности ? – оператор | в пределах ОО (FPT_TRC) Самотестирование ФБО (FPT_TST). | ||
доминирования, определяющий частичное нестрогое отношение | 252 | 252. 3. Критерии оценки безопасности информационных | |
порядка на множестве L. Отношение, задаваемое ? , рефлексивно, | технологий. Профили защиты СУБД. Классификация изделий ИТ, | ||
антисимметрично и транзитивно: ? l ? L: l ? l ; ? l1, l2 ? L: | функциональные пакеты ТБ. Изделия ИТ. … Операционные системы. | ||
(l1 ? l2 ? l2 ? l1) ? l1 ? l2 ; ? l1, l2, l3 ? L: (l1 ? l2 ? l2 | Субд. Мэ. Одноуровневые ОС. Многоуровневые ОС. ОС реального | ||
? l3) ? l1 ? l3 ; ? – оператор, определяющий для любой пары l1, | времени. - для каждого типа изделий ИТ формируется семейство | ||
l2 ? L наименьшую верхнюю границу - l1? l2 ? l ? l1, l2? l ?? | профилей защиты. - для каждого типа (семейства профилей защиты) | ||
l'?L: (l' ? l) ? (l' ? l1 ? l' ? l2) ? – оператор, определяющий | из всего полного каталога ФТБ (ч.2 ОК) формируется базовый | ||
для любой пары l1, l2 ? L наибольшую верхнюю границу - l1 ? l2 ? | функцио-нальный пакет требований безопасности (БФПТБ семейства). | ||
l ? l ? l1, l2 ?? l'? L:(l' ? l1 ? l' ? l2) ? (l' ? l). 1. Общая | - для каждой группы из БФПТБ семейства с дополнением ФТБ из | ||
характеристика моделей мандатного доступа. | общего каталога ФТБ (ч.2 ОК) формируется функциональный пакет | ||
114 | 114. Функция уровня безопасности FL: X? L. - однозначное | требований безопасности группы (ФПТБ группы) - БФПТБ семейства ? | |
отображение множества сущностей КС X = S ? O во множество | ФПТБ группы. Исходя из специфики целей применения, особен-ностей | ||
уровней безопасности L решетки ?L . Обратное отображение FL-1: L | конфигурации, технологии обработки информации и др. | ||
? X задает разделение всех сущностей КС на классы безопасности | 253 | 253. 3. Критерии оценки безопасности информационных | |
Xi, такие что: X1 ? X2 ? …? XN = X , где N - мощность базового | технологий. Профили защиты СУБД. Классы защищенности и пакеты | ||
множества уровней безопасности L; Xi ? Xj ? ? , где i ? j; ? x'? | требований доверия без-ти. Ценность защищаемых активов | ||
Xi ? fL(x')= li , где li ? L. 1. Общая характеристика моделей | (информации). Класс защищенности 1. Класс защищенности 2. Класс | ||
мандатного доступа. | защищенности 3. Класс защищенности 4. Базовый пакет доверия | ||
115 | 115. Система защиты - совокупность - множества субъектов S - | класса 1. Базовый пакет доверия класса 2. Базовый пакет доверия | |
множества объектов O - множества прав доступа R (в исх. виде | класса 3. Базовый пакет доверия класса 4. | ||
всего два элемента - read и write) - матрицы доступа A[s,o] - | 254 | 254. 3. Критерии оценки безопасности информационных | |
решетки уровней безопасности L субъектов и объектов (допуска и | технологий. Профили защиты СУБД. Формирование функциональных | ||
грифы секретности) - функции уровней безопасности fL, | требований безопасности и требований доверия к безопасности при | ||
отображающей элементы множеств S и O в L - множества состояний | разработке Профиля защиты. Общая схема формирования требований | ||
системы V, которое опре- деляется множеством упорядоченных пар | безопасности к изделиям и системам ИТ. | ||
(fL,A) - начального состояния v0 - набора запросов Q субъектов к | 255 | 255. 3. Критерии оценки безопасности информационных | |
объектам, выполне- ние которых переводит систему в новое | технологий. Профили защиты СУБД. Общая схема формирования | ||
состояние - функции переходов FT : (V x Q) ? V, которая | Профиля защиты. | ||
переводит систему из одного состояния в другое при выполнении | 256 | 256. 3. Критерии оценки безопасности информационных | |
запросов. 2. Модель Белла-ЛаПадулы. D.Elliott Bell, Leonard | технологий. Профили защиты СУБД. Организационный порядок | ||
J.LaPadula, 1973-75. | разработки профиля защиты. | ||
116 | 116. Белл и ЛаПадула ввели следующее определение безопасного | 257 | 257. 3. Критерии оценки безопасности информационных |
состояния системы. Система ?(v0 , Q, FT) безопасна тогда и | технологий. Профили защиты СУБД. Структура и содержание Профиля | ||
только тогда, когда ее начальное состояние v0 безопасно и все | защиты. 1. Введение 1.1. Идентификация ПЗ 1.2. Аннотация ПЗ 2. | ||
состояния, достижимые из v0 путем применения конечной | Описание изделия ИТ 3. Среда безопасности изделия ИТ 3.1. | ||
последовательности запросов из Q безопасны. 1. Состояние | Предположения безопасности 3.2. Угрозы 3.3. Политика | ||
называется безопасным по чтению (или просто безопасным) тогда и | безопасности организации 4. Цели безопасности 4.1. Цели | ||
только тогда, когда для каждого субъекта, осуществляющего в этом | безопасности для изделия ИТ 4.2. Цели безопасности для среды | ||
состоянии доступ чтения к объекту, уровень безопасности этого | изделия ИТ 5. Требования безопасности изделия ИТ 5.1. | ||
субъекта доминирует над уровнем безопасности этого объекта: | Функциональные требования безопасности изделия ИТ 5.2. | ||
?s?S, ?o?O, read ? А[s,o]?fL(s)?fL(o). 2. Состояние называется | Требования доверия к безопасности изделия ИТ 5.3. Требования | ||
безопасным по записи (или *-безо- пасным) тогда и только тогда, | безопасности для среды изделия ИТ 6. Замечания по применению | ||
когда для каждого субъекта, осуществляющего в этом состоянии | (необязательный) 7. Обоснование 7.1. Обоснование целей | ||
доступ записи к объекту, уровень безопасности объекта доминирует | безопасности 7.2. Обоснование требований безопасности. | ||
над уровнем безопасности этого субъекта: ?s?S, ?o?O, write ? | 258 | 258. 3. Критерии оценки безопасности информационных | |
А[s,o]?fL(o)?fL(s). 3. Состояние безопасно тогда и только тогда, | технологий. Профили защиты СУБД. Структура и содержание профиля | ||
когда оно безопасно и по чтению, и по записи. На основе | защиты. 1. Введение 1.1.Идентификация ПЗ а) ключевые слова; б) | ||
определений 1,2 и 3 критерий безопасности: 2. Модель | оценочный уровень доверия (ОУД), если он применяется в ПЗ; в) | ||
Белла-ЛаПадулы. | утверждение о соответствии версии ОК; г) состояние оценки ПЗ. | ||
117 | 117. Теорема ОТБ. Система ?(v0,Q, FT) безопасна тогда и | 1.2.Анотация ПЗ резюме по высокоуровневому обзору проблемы | |
только тогда, когда: 1.Состояние v0 безопасно 2.Функция | безопасности, которая подлежит решению в ПЗ, и краткий обзор ее | ||
переходов FT такова, что любое состояние v, достижимое из v0 при | решения в ПЗ Профили защиты, с которыми связан рассматриваемый | ||
выполнении конечной последовательности запросов из множества Q, | профиль, и другие документы, на которые ссылается | ||
также безопасно 3.Если при FT(v,q)=v*, где v=(fL , A) и v*=(fL*, | (необязательный подраздел) Структура и организация профиля | ||
A*), переходы системы из состояния в состояние подчиняются | защиты (необязательный подраздел) 2. Описание изделия ИТ а) тип | ||
следующим ограничениям для ?s?S и для ?o?O: - если read ?A*[s,o] | продукта ИТ; б) основные функциональные возможности ОО; в) | ||
и read ?A[s,o], то fL*(s)?fL*(o) - если read ?A[s,o] и | границы ОО (необязательная информация); г) среда | ||
fL*(s)<fL*(o), то read ?A*[s,o] - если write ?A*[s,o] и write | функционирования ОО (необязательная информация). | ||
?A[s,o], то fL*(s)?fL*(o) - если write ?A[s,o] и | 259 | 259. 3. Критерии оценки безопасности информационных | |
fL*(o)<fL*(s), то write ?A*[s,o]. Белла и ЛаПадула доказали | технологий. Профили защиты СУБД. Структура и содержание профиля | ||
т.н. Основную теорему безопасности: 2. Модель Белла-ЛаПадулы. | защиты. 3. Среда безопасности изделия ИТ 3.1. Предположения | ||
Правила доступа и ограничения NRU и NWD должны работать | безопасности а) предположения относительно предопределенного | ||
независимо от предыстории конкретных объектов и субъектов. При | использования изделия ИТ; б) предположения, связанные с защитой | ||
переходе в новое состояние не возникает никаких новых и не | любой части изделия ИТ со стороны среды (например, физическая | ||
сохраняется никаких старых отношений доступа, которые | защита); в) предположения связности (например, межсетевой экран | ||
небезопасны по отношению к функции уровня безопасности нового | должен быть единственным сетевым соединением между частной | ||
состояния. | (защищаемой) и внешней (потенциально враждебной) сетью); г) | ||
118 | 118. Достоинства модели Белла-ЛаПадулы: Недостатки модели | предположения, имеющие отношение к персоналу (например, | |
Белла-ЛаПадулы: ясность и простота реализации отсутствие | предполагаемые пользовательские роли, основные обязанности | ||
проблемы "Троянских коней" (контролируется | (ответственность) пользователей и степень доверия этим | ||
направленность потоков, а не взаимоотношения конкретного | пользователям). 3.2. Угрозы идентификация угроз (идентификация | ||
субъекта с конкретным объектом, поэтому недекларированный поток | защищаемых активов, источников угроз, методов нападения) | ||
троянской программы «сверху-вниз» будет считаться опасным и | спецификация угроз по соответствующим идентифицированным | ||
отвергнут МБО) каналы утечки не заложены в саму модель, а могут | аспектам 3.3. Политика безопасности организации совокупность | ||
возникнуть только в практической реализации. 2. Модель | правил, процедур, практических приемов или руководящих принципов | ||
Белла-ЛаПадулы. возможность ведения операций доступа (Delete), | в области безопасности, которыми руководствуется организация в | ||
не влияющих с т.зр. модели на безопасность, которые тем не менее | своей деятельности а) идентификация применяемых правил | ||
могут привести к потери данных проблема Z-системы (Мак-Лин) - | управления информационными потоками; б) идентификация | ||
такая система, в которой при запросе все сущности м.б. | применяемых правил управления доступом; в) определение правил | ||
деклассифицированы до самого низкого уровня и тем самым м.б. | ПБОр для аудита безопасности; г) решения, предписанные | ||
осуществлен любой доступ (в модели не заложены принципы и | организацией, например, использование определенных | ||
механизмы классификации объектов) отсутствие в модели доверенных | криптографических алгоритмов или следование определенным | ||
субъектов-администраторов Типовые действия администраторов | стандартам. Каждое предположение, угроза, правило ПБОр д. иметь | ||
(создание пользователей, установление их полномочий и т.д.) не | уникальную метку. | ||
могут ни приводить к нарушениям безопасности с т.зр. модели | 260 | 260. 3. Критерии оценки безопасности информационных | |
Белла-ЛаПадулы. | технологий. Профили защиты СУБД. Структура и содержание профиля | ||
119 | 119. Безопасная функция перехода (Мак-Лин). Функция перехода | защиты. 4. Цели безопасности 4.1. Цели безопасности для изделия | |
FT(v,q)=v* безопасна по чтению когда: 1. Если read ?A*[s,o] и | ИТ (ответственность за противостояние угрозам и следование ПБОр, | ||
read ?A[s,o], то fLs(s)?fLo(o) и fL=fL* 2. Если fLs?fLs*, то | промежуточный этап формирования требований безопасности ИТ) Три | ||
A=A*, fLo=fLo* , для ?s и o, у которых fLs*(s)<fLo*(o), - | типа целей безопасности для ОО: а) цели предупредительного | ||
read ?A[s,o] 3. Если fLo?fLo*, то A=A*, fLs=fLs* , для ?s и o, у | характера, направленные либо на предотвращение реализации угроз, | ||
которых fLs*(s)<fLo*(o), - read ?A[s,o]. Функция перехода FT | либо на перекрытие возможных путей реализации данных угроз; б) | ||
(v,q)=v* безопасна по записи когда: 1.Если write ?A*[s,o] и | цели обнаружения, определяющие способы обнаружения и постоянного | ||
write ?A[s,o],то fLo(o)?fLs(s) и fL=FL* 2. Если fLs?fLs*, то | мониторинга событий, оказывающих влияние на безопасное | ||
A=A*, fLo=fLo* , для ?s и o, у которых fLs*(s)>fLo*(o), - | функционирование ОО; в) цели реагирования, определяющие | ||
write ?A[s,o] 3. Если fLo?fLo*, то A=A*, fLs=fLs* , для ?s и o, | необходимость каких-либо действий ОО в ответ на потенциальные | ||
у которых fLs*(s)>fLo*(o), - write ?A[s,o]. 3. Расширения | нарушения безопасности или другие нежелательные события, с целью | ||
модели Белла-ЛаПадулы. Нельзя изменять одновременно более одного | сохранения или возврата ОО в безопасное состояние и/или | ||
компонента состояния системы. Можно: -либо ввести новое | ограничения размера причиненного ущерба. Требования: а) учет | ||
отношение доступа -либо изменить уровень субъекта -либо изменить | каждой идентифицированной угрозы, направленной против изделия | ||
уровень объекта. Гарантии безопасности в процессе осуществления | ИТ, по крайней мере, одной целью безопасности для изделия ИТ; б) | ||
переходов между состояниями. | учет каждого правила идентифицированной ПБОр, которому должно | ||
120 | 120. Теорема безопасности Мак-Лина. Система безопасна в | удовлетворять изделие ИТ, по крайней мере, одной целью | |
любом состоянии и в процессе переходов между ними, если ее | безопасности для изделия ИТ 4.2. Цели безопасности для среды | ||
начальное состояние безопасно, а функция перехода удовлетворяет | изделия ИТ (ответст-ть за достиж-е которых возлаг-ся на | ||
критерию безопасности Мак-Лина. Критерий безопасности Мак-Лина | ИТ-среду, а также связанные с реализацией в пределах среды | ||
для функции перехода. Функция перехода FT(v,q)=v* является | функцион-я изделия ИТ организационных и других нетехнических | ||
безопасной тогда и только тогда, когда она изменяет только один | мер) а) противостояние угрозам (или отд-м аспектам угроз), | ||
из компонентов состояния и изменения не приводят к нарушению | которым изд-е ИТ не против-т; б) поддержку реализации правил | ||
безопасности системы. Но! Нет контроля самого процесса изменения | ПБОр, которые не удовлетворены или не полностью удовлетворены | ||
уровней безопасности сущностей в процессе осуществления | изделием ИТ; в) поддержку идентифицированных целей безопасности | ||
переходов. 3. Расширения модели Белла-ЛаПадулы. | для изделия ИТ в плане противостояния угрозам и реализации | ||
121 | 121. Уполномоченные (доверенные) субъекты (Мак-Лин). | соответствующих правил ПБОр; г) поддержку идентифицированных | |
Соответственно функция переходов системы ?(v0,Q, FTа) – FTа | предположений о среде. | ||
приобретает дополнительный параметр авторизации. Функция | 261 | 261. 3. Критерии оценки безопасности информационных | |
перехода FTа(v,s,q) в модели с называется авторизованной тогда и | технологий. Профили защиты СУБД. Структура и содержание профиля | ||
только тогда, когда для каждого перехода FTа(v,s,q)=v* , при | защиты. 5. Требования безопасности изделия ИТ 5.1. | ||
котором: для ?x?S?O: если fL(x) ? fL(x), то s?С(S). Система | Функциональные требования безопасности изделия ИТ Определяют | ||
?(v0,Q, FTa) c доверенными субъектами безопасна если : | требования для функций безопасности, обеспечивающих достижение | ||
1.Начальное состояние v0 безопасно и все достижимые состояния | целей безопасности для изделия ИТ Выбирают из ч.2 ОК, при | ||
безопасны по критерию Белла-ЛаПадулы 2.Функция переходов FTа | наличии из ФПТБ группы Различают (необязательно) следующие два | ||
является авторизованной. В базовую модель дополнительно вводится | типа ФТБ: а) основные ФТБ, непосредственно удовлетворяющие | ||
подмножество доверенных субъектов, которым (и только им) | конкретные цели безопасности для изделия ИТ; б) поддерживающие | ||
разрешается инициировать переходы с изменениями уровней | ФТБ, не предназначенные для непосредственного удовлетворения | ||
безопасности сущностей системы – С(S). 3. Расширения модели | целей безопасности для изделия ИТ, но способствующие выполнению | ||
Белла-ЛаПадулы. | основных ФТБ и, тем самым, косвенным образом способствующие | ||
122 | 122. Другие расширения модели Белла-ЛаПадулы. Модель | удовлетворению целей безопасности для изделия ИТ. 5.2. | |
Low-WaterMark. Модель совместного доступа. Вводится | Требования доверия к безопасности изделия ИТ Определяют | ||
дополнительная операция reset(s,o), которая повышает до | требуемый уровень уверенности в надлежащей реализации ФТБ. | ||
максимального уровень безопасности объекта при условии | Выбираются из ч.3 ОК, БПДК в зависимости от: а) ценности | ||
F(s)>F(o). В результате субъекту м.б. доступен по write любой | активов, подлежащих защите, и осознаваемого риска их | ||
объект. Модифицируется write(s,o) Если при операции write | компрометации; б) технической реализуемости; в) стоимости | ||
уровень объекта выше уровня субъекта то: - происходит понижение | разработки и оценки; г) требуемого времени для разработки и | ||
уровня безопасности объекта до уровня безопасности субъекта; - | оценки изделия ИТ; д) требований рынка (для продуктов ИТ); е) | ||
перед внесением новой старая информация в объекте стирается | зависимостей функциональных компонентов и компонентов доверия к | ||
(чтобы потом нельзя было прочесть). Доступ к определенной | безопасности. 5.3. Требования безопасности для среды изделия ИТ | ||
информации или модификация ее уровня безопасности может | определяют функциональные требования и требования доверия к | ||
осуществляться только в результа-те совместных действий | безопасности, выполнение которых возлагается на ИТ-среду (то | ||
нескольких пользователей (т.е. только в результате группового | есть, на внешние по отношению к изделию ИТ аппаратные, | ||
доступа- z.b. гриф секретности документа м.б. изменен только | программные или программно-аппаратные средства) с тем, чтобы | ||
совместными действиями владельца-исполнителя и администратора | обеспечить достижение целей безопасности для изделия ИТ. | ||
безопасности ). В матрице доступа вводятся групповые объекты и | 262 | 262. 3. Критерии оценки безопасности информационных | |
др. 3. Расширения модели Белла-ЛаПадулы. | технологий. Профили защиты СУБД. Структура и содержание профиля | ||
123 | 123. Другие недостатки модели Белла-ЛаПадулы. Тем не менее | защиты. 7. Обоснование 7.1. Обоснование целей безопасности | |
модель Белла-ЛаПадулы оказала сильное влияние на развитие | Демонстрация соответствия целей безопасности идентифицированным | ||
моделей безопасности и стандартов защищенности КС. возможность | угрозам может быть выполнена следующим образом: а) в виде | ||
скрытых каналов утечки - механизм, посредством которого субъект | таблицы, показывающей, какие цели безопасности каким угрозам | ||
с высоким уровнем безопасности м. предоставить определенные | соответствуют (например, угрозе Т3 соответствует цель О3); при | ||
аспекты конфиденциальной информации субъекту, уровень | этом необходимо обеспечить соответствие каждой цели | ||
безопасности которого ниже уровня безопасности конф. информации | безопасности, по крайней мере, одной угрозе; б) логическим | ||
проблема удаленного доступа. В распределенных системах | обоснованием того, что цели безопасности противостоят угрозам | ||
осуществление доступа всегда сопровождается потоком информации в | 7.2. Обоснование требований безопасности Демонстрацию | ||
прямом и обратном направлении, что результате может приводить к | соответствия ФТБ целям безопасности для ОО можно представить | ||
нарушениям привил NRU и NWD проблема избыточности прав доступа. | следующим образом: а) в виде таблицы, показывающей, какие ФТБ | ||
Без учета матрицы доступа (т.е. без использования дискреционного | какие цели безопасности удовлетворяют (например, компоненты | ||
доступа) мандатный принцип доступа организует доступ более | FRU_RSA.1 и FTP_MCS.1 соответствуют цели безопасности O3), при | ||
жестко, но и более грубо, без учета потребностей конкретных | этом необходимо обеспечить соответствие каждого ФТБ, по крайней | ||
пользователей-субъектов. 3. Расширения модели Белла-ЛаПадулы. | мере, одной цели безопасности; б) логическим обоснованием | ||
124 | Лекция 2.3. Модели безопасности на основе тематической | соответствия ФТБ целям безопасности. | |
политики. Тема 2. Модели безопасности компьютерных систем. ? | 263 | 263. 3. Критерии оценки безопасности информационных | |
Гайдамакин Н.А., 2008г. ГОС 075200 «Компьютерная безопасность» | технологий. Профили защиты СУБД. Пример разделов ПЗ СУБД. | ||
ОПД.Ф.10 "Теоретические основы компьютерной | 264 | 264. 3. Критерии оценки безопасности информационных | |
безопасности" Презентация предназначена для отработки и | технологий. Профили защиты СУБД. Пример разделов ПЗ СУБД. | ||
закрепления лекционного материала студентами группы КБ МатМех | 265 | 265. 3. Критерии оценки безопасности информационных | |
УрГУ. Распространение и передача презентации третьим лицам | технологий. Профили защиты СУБД. Пример разделов ПЗ СУБД. | ||
запрещается. | 266 | 266. 3. Критерии оценки безопасности информационных | |
125 | 1.Общая характеристика тематического разграничения доступа | технологий. Профили защиты СУБД. Пример разделов ПЗ СУБД. | |
2.Тематическая решетка мультирубрик иерархического рубрикатора | 267 | 267. 3. Критерии оценки безопасности информационных | |
3.Модели тематико-иерархического разграничения доступа. Учебные | технологий. Профили защиты СУБД. Пример разделов ПЗ СУБД. | ||
вопросы: 125. Литература: 1. Гайдамакин Н.А. Разграничение | 268 | 268. 3. Критерии оценки безопасности информационных | |
доступа к информации в компьютерных системах. - Екатеринбург: | технологий. Профили защиты СУБД. Пример разделов ПЗ СУБД. | ||
Изд-во Урал. Ун-та, 2003. – 328 с. | 269 | 269. 3. Критерии оценки безопасности информационных | |
126 | 126. Политика тематического разграничения доступа. | технологий. Профили защиты СУБД. Пример разделов ПЗ СУБД. | |
1.Множество субъектов и объектов доступа X = S ? O тематически | 270 | Лекция 3.2. Теоретико-графовые модели комплексной оценки | |
классифицируются. 1.Общая характеристика тематического | защищенности КС. Тема 3. Методы анализа и оценки защищенности | ||
разграничения доступа. | компьютерных систем. ? Гайдамакин Н.А., 2008г. ГОС 075200 | ||
127 | 127. 2. Три способа тематичес-кой классификации - | «Компьютерная безопасность» ОПД.Ф.10 "Теоретические основы | |
дескрипторная - иерархическая -- монорубрицированная -- | компьютерной безопасности" Презентация предназначена для | ||
мультирубрицированная - фасетная. Дескрипторная тематичес-кая | отработки и закрепления лекционного материала студентами группы | ||
классифи-кация. 1.Общая характеристика тематического | КБ МатМех УрГУ. Распространение и передача презентации третьим | ||
разграничения доступа. | лицам запрещается. | ||
128 | 128. Иерархическая тематическая классификация. 1.Общая | 271 | 271. КС представляется трехдольным графом G(P,O,Z,E,H): |
характеристика тематического разграничения доступа. | Специфицируют политику комплексного использования и применения | ||
129 | 129. Политика тематического разграничения доступа. | защитных механизмов и анализа защищенности КС на основе | |
3.Недопустимы доступы (вызывающие опасные потоки) - от сущностей | теоретико-графового подхода. Модель системы с полным перекрытием | ||
x1 с более широкой тематикой к сущностям x2 с более узкой | – на каждую угрозу есть нейтрализующее СЗИ. 1. Модели | ||
тематикой (x1 ? x2) F[x1] ? F[x2] - между сущностями x1 и x2 с | комплексной оценки защищенности КС. | ||
несравнимой тематикой (x1? x2) F [x2] ? ? F [x2]. 1.Общая | 272 | 272. Каждое ребро графа G(P,O,Z,E,H) специфицирует | |
характеристика тематического разграничения доступа. | воздействие конкретной угрозы на конкретный объект. От каждой | ||
130 | 130. Тематические решетки. 1. При дескрипторной тематической | угрозы м.б. несколько воздействий на различные объекты и каждый | |
классификации - решетка ?д(Pд, ?, ?, ?) подмножеств множества Tд | объект м.б. подвергнут нескольким угрозам (связь | ||
= {?1,?2,…,?M} , где Pд=Fд[x] ? Tд , x ? S ? O. 2. На | "многие-ко-многим"). Граф G(P,O,Z,E,H) взвешенный. | ||
иерархическом рубрика-торе при монорубрициро-ванной | Веса вершин и ребер м. определять: - величину ущерба от | ||
классификации решетка ?и(Tи?, ?, supи, infи) на корневом дереве | реализации угроз - или вероятность осуществления угроз. Выбор | ||
рубрикатора Tи ={?1,?2,…,?M } путем добавления вершины ?0 (с | защитных механизмов осуществляется так, чтобы: - редуцируя граф, | ||
пус-той тематикой) и замыкания на нее всех листовых вершин. | устранить наиболее опасные угрозы - или изменить веса ei с тем, | ||
решетка ?и(T л, ?, ?ил, ?) листовых подмножеств вершин на | чтобы минимизировать поток угроз на основе тех или иных | ||
корневом дереве рубрикатора. Решетки ?и(Tи?, ?, supи, infи) и | критериев. 1. Модели комплексной оценки защищенности КС. | ||
?и(T л, ?, ?ил, ?) изоморфны. 2. Тематическая решетка | 273 | 273. Граф G(P,O,Z,E,H) является взвешенным и эквивалентно | |
мультирубрик иерархического рубрикатора. | представляется следующей совокупностью векторов и матриц: вектор | ||
131 | 131. Тематические решетки (продолжение). 3. На иерархическом | P(p1, p2 ,… pN ), где pi – вероятность осуществления | |
рубрикаторе при мультирубрициро-ванной классификации решетка | соотв.угрозы; вектор O(o1, o2 ,… oL ), где oi – стоимость соотв. | ||
?и(IР, ?, ?ир, ?) рубрикаторных идеалов IР2 ? IР6, IР2 ? IР1, | объекта защиты; NXL матрица Е{ei,j}, где ei,j =1 при воздействии | ||
IР4 ? IР3, IР5 ? IР3, IР6 = IР1 ? IР2, IР3 = IР4 ?ир IР5. | i-й угрозы на j-й объект, и = 0 в противном случае; вектор Z(z1, | ||
Решетка мультирубрик ?и(tм,?м,?м, ?м). 2. Тематическая решетка | z2 ,… zM ), где zi – стоимость соотв.способа или средства | ||
мультирубрик иерархического рубрикатора. T м2 ?мt м6, T м4 ?мt | защиты; NXM матрица H{hi,j}, где hi,j – вероятность устранения | ||
м3, T м5 ?мt м3, T м6=t м1?мt м2, T м3= T м4 ?м T м5. | (или степень снижения ущерба) i-й угрозы от применения j-го | ||
Определение 1. Мультирубрика T мi доминирует над мультирубрикой | средства защиты. Области применения теоретико-графовых моделей. | ||
T мj – {?(j)1, ?(j)2,…, ?(j)J} ? {?(i)1, ?(i)2,…, ?(i)I} в том и | Технико-экономическое обоснование систем обеспечения | ||
только в том случае, когда для любого m=1,…,J существует k=1,…,I | безопасности. Ущерб безопасности без использования СЗИ. Ущерб | ||
такое, что ?(j)m ? ?(i)k (вершина ?(j)m подчинена по корневому | безопасности при использования СЗИ. 1. Модели комплексной оценки | ||
дереву вершине ?(i)k): ? ?(j)m? T мj , ? ?(i)k? T мi ? ?(j)m ? | защищенности КС. | ||
?(i)k . | 274 | 274. Тактико-техническое обоснование систем обеспечения | |
132 | 132. Решетка мультирубрик ?и(Tм,?м,?м, ?м). {?7 , ?8 } ?м | безопасности. Другие задачи. 1. Модели комплексной оценки | |
{?11, ?12, ?9} 1) {?7 , ?8 , ?11, ?12, ?9} 2) {?7 , ?8 , ?11, | защищенности КС. | ||
?9} 3) {?11, ?7 , ?4}. 2. Тематическая решетка мультирубрик | 275 | 275. Этапы: Идентификация и оценка ценности объектов защиты | |
иерархического рубрикатора. ?20. Определение 2. Объединением ?м | Формирование перечня угроз и оценка их опасностей (вероятностей) | ||
мультирубрик T мi={?(i)1,?(i)2,…,?(i)I} и T | Формирование перечня СЗИ – базового уровня защиты с учетом | ||
мj={?(j)1,?(j)2,…,?(j)J} называется операция формирования | имеющихся нормативных требований Вычисление ущерба с учетом | ||
множества вершин иерархического рубрикатора T м? = T мi ?м T мj | применения СЗИ и оценка остаточного риска, как правило, в | ||
на основе следующего алгоритма: 1)Формируется | ранговой шкале: остаточный риск незначительный остаточный риск | ||
теоретико-множественное объединение множеств вершин, | приемлемый остаточный риск высокий остаточный риск неприемлемый | ||
составляющих мультирубрики – T ? = {?(i)1, ?(i)2,…, | 5. Формирование дополнительных мер защиты и СЗИ для достижения | ||
?(i)I}?{?(j)1, ?(j)2,…, ?(j)J}; 2)Формируется набор вершин Tм?' | приемлемого риска. Оценка рисков нарушения ИБ. 1. Модели | ||
путем исключения из него тех вершин из T ?, которые доминируются | комплексной оценки защищенности КС. | ||
хотя бы одной вершиной из того же набора T ? – (?k ? T ?? ?k ? T | 276 | 276. 1.Идентификация и оценка ценности объектов защиты. | |
м?) ? ( ? ?m ? T ?? ?m ? ?k); 3)Формируется итоговый набор | 1.1.Формирование полного перечня объектов защиты- на основе | ||
вершин T м? путем добавления в него результатов иерархического | видового дерева. … 1.2.Определение ценности объектов защиты. в | ||
сжатия по всем подмножествам набора вершин T м?' и одновременным | большинстве методик на основе материальной стоимости и ущерба от | ||
исключением соответствующих наборов сыновей при непустом | их разрушения, НСД и т.д. 1. Модели комплексной оценки | ||
результате сжатия. Лемма 1. Множество рубрик T м? = T мi ?м T | защищенности КС. | ||
мj, формируемое на основе объединения мультирубрик по | 277 | 277. 2.Идентификация угроз и оценка их вероятности. 2.1. | |
определению 2, а) является мультирубрикой; b) доминирует над | Формирование перечня угроз и оценка их опасностей – также на | ||
мультирубриками T мi и T мj, т.е. T мi ? T м? ? T мj ? T м? ; c) | основе видового дерева. Герм. стандарт BSI. Отеч. ГОСТ Р | ||
является наименьшей верхней границей мультирубрик T мi и T мj. | 51275-99. … 2.2.Определение опасности или вероятностей угроз. В | ||
133 | 133. Решетка мультирубрик ?и(Tм,?м,?м, ?м). {?7 , ?8 } ?м | большинстве методик на основе экспертных оценок и анализа | |
{?11, ?12, ?9} 1) {?7 , ?8} ? ? 2) {?11, ?12, ?9} ? {?12} 3) ? ? | имеющейся статистики. 1. Модели комплексной оценки защищенности | ||
{?12}= {?12}. 2. Тематическая решетка мультирубрик | КС. | ||
иерархического рубрикатора. ?20. Определение 3. Пересечением ?м | 278 | 278. 3. Формирование перечня и системы СЗИ. 3.1. На основе | |
мультирубрик T мi ={?(i)1, ?(i)2,…, ?(i)I} и T мj = {?(j)1, | стандартов и РД по защищенности КС. 1. Модели комплексной оценки | ||
?(j)2,…, ?(j)J} называется операция формирования множества | защищенности КС. | ||
вершин иерархического рубрикатора T м? = T мi ?м T мj на основе | 279 | 279. В развитие методологии данного подхода в 80-х годах за | |
следующего алгоритма: 1)Из множества вершин мультирубрики T | рубежом были разработаны подходы к комплексной оценки | ||
мi={?(i)1,?(i)2,…,?(i)I} формируются множество вершин T м'i, | защищенности КС, закрепленные в соответствующих национальных | ||
которые доминируются хотя бы одной вершиной из множества вершин | стандартах: · британском стандарте BS 7799 (ISO 17799) – | ||
другой мультирубрики T мj = {?(j)1,?(j)2,…, ?(j)J}; 2)Из | Великобритания; · ведомственном стандарте NASA США | ||
множества вершин мультирубрики T мj = {?(j)1,?(j)2,…, ?(j)J} | "Безопасность информационных технологий" | ||
формируются множество вершин T м'j, которые доминируются хотя бы | (http://esdis.dsfo.nasa.gov); · германском стандарте | ||
одной вершиной из множества вершин первой мультирубрики T мi | "BSI" (http://www.bsi.bund.de/. Стандарты комплексной | ||
={?(i)1, ?(i)2,…, ?(i)I}; 3)Формируется теоретико-множественное | оценки защищенности КС. 1. Модели комплексной оценки | ||
объединение T м? = T м'i ? T м'j. Лемма 2. Множество рубрик T м? | защищенности КС. | ||
= T мi ??м T мj, формируемое на основе пересечения мультирубрик | 280 | 280. · COBRA, разработчик C&A Systems Security Ltd | |
по определению 3, а) является мультирубрикой; b) доминируется | (http://www.securityauditor.net); · RiskPAC, разработчик CSCI | ||
мультирубриками T мi и T мj, т.е. T м? ? T мi ? T м? ? T мj ; c) | (http://www.csciweb.com); · CRAMM, разработчик Logica | ||
является наибольшей нижней границей мультирубрик T мi и T мj. | (Великобритания); · MARION, разработчик CLUSIF (Франция); · | ||
134 | 134. 3. Модель тематико-иерархического разграничения | RiskWatch (http://www.riskwatch.com); · АванГард (Россия) · Гриф | |
доступа. 1.Компьютерная система ?Тии представляется | (Россия). Case-средства комплексной оценки защищенности. 1. | ||
совокупностью субъектов и объектов доступа. В системе ?Тии | Модели комплексной оценки защищенности КС. | ||
действует МБО, санкционирующий запросы субъектов на доступ к | 281 | Лекция 3.3. Методы анализа и оптимизации | |
объектам, и МБС, управляющий инициализацией субъектов. | индивидуально-групповых систем разграничения доступа. Тема 3. | ||
2.Информационно-логическая схема предметной области системы ?Тии | Методы анализа и оценки защищенности компьютерных систем. ? | ||
представляется тематическим иерархическим классификатором | Гайдамакин Н.А., 2008г. ГОС 075200 «Компьютерная безопасность» | ||
(рубрикатором). Рубрикатор включает конечное множество | ОПД.Ф.10 "Теоретические основы компьютерной | ||
тематических рубрик Tи ={?1,?2,…, ?M}, на котором установлен | безопасности" Презентация предназначена для отработки и | ||
частичный порядок, задаваемый корневым деревом. ?20. | закрепления лекционного материала студентами группы КБ МатМех | ||
135 | 135. 3.Множество сущностей системы X = S ? O тематически | УрГУ. Распространение и передача презентации третьим лицам | |
классифицируется на основе отображения на множество мультирубрик | запрещается. | ||
Tм, определенных на корневом дереве иерархического рубрикатора. | 282 | 282. Двудольный граф требуемых назначений доступа Г(U,O,E). | |
Существует функция тематического окрашивания fм, которая в | Ei={r1, r2,…, rk} ri= i-й метод доступа; ri=1 – доступ разрешен; | ||
каждый момент времени для любой сущности системы x ? X | ri=0 – доступ не разрешен; ri= -1 – доступ запрещен. Множество | ||
определяет соответствующую ей мультирубрику: fм[x] = T мi , T мi | вершин U одной доли графа — субъекты доступа Множество вершин O | ||
? Tм. 4.Тематический критерий безопасности. Система ?Тии | другой доли графа — объекты доступа Множество ребер (дуг) Eтреб | ||
безопасна тогда и только тогда, когда в ней отсутствуют потоки | — требуемые назначения доступа субъектов к объектам. Eтреб. 1. | ||
следующих видов: - от сущностей с более широкой тематикой к | Теоретико-графовая модель систем индивидуально-группового | ||
сущностям с более узкой тематикой; - между несравнимыми по | доступа к иерархически организованным информационным ресурсам. | ||
тематике сущностями. 3. Модель тематико-иерархического | 283 | 283. Граф назначений доступа Г(U,O,E) при иерархической | |
разграничения доступа. | организации системы объектов доступа. Eитог= eпр ? eнасл. 2). | ||
136 | 136. 3. Модель тематико-иерархического разграничения | Вариативность наделения субъектов доступа Eтреб за счет | |
доступа. 5. Переходы системы ?Тии, обусловленные запросами и | различного сочетания Eпр и Eнасл. 1. Теоретико-графовая модель | ||
осуществлением доступов существующих субъектов к существующим | систем индивидуально-группового доступа к иерархически | ||
объектам, санкционируются МБО на основе следующих правил: | организованным информационным ресурсам. | ||
Правило 1. Доступ субъекта s к объекту o, вызывающий поток по | 284 | 284. Граф индивидуально-групповых назначений доступа | |
чтению Stream(s)?o , неопасен и может быть МБО разрешен тогда и | Г(U,G,O,E) при иерархической организации системы объектов | ||
только тогда, когда мультирубрика субъекта доминирует над | доступа. Eитог= eи ? eг = (eипр ? eинасл ) ? ((eгпр ? eгг ) ? | ||
мультирубрикой объекта: fм[s] ? fм[o]. Правило 2. Доступ | eгнасл ). 2). Дополнительная вариативность наделения субъектов | ||
субъекта s к объекту o, вызывающий поток по записи Stream(s)?o , | доступа Eтреб за счет различного сочетания Eи и Eг. 1. | ||
неопасен и может быть МБО разрешен тогда и только тогда, когда | Теоретико-графовая модель систем индивидуально-группового | ||
мультирубрика объекта доминирует над мультирубрикой субъекта: | доступа к иерархически организованным информационным ресурсам. | ||
fм[o] ? fм[s]. | 285 | 285. Матричное представление графа Г(U,G,O,E). Rи – | |
137 | 137. 3. Модель тематико-иерархического разграничения | (NxMxK)-массив разрешенных для субъектов методов доступа к | |
доступа. 6. Переходы системы ?Тии, связанные с порождением новых | объектам по индивидуальным назначениям; Rг – (LxMxK)-массив | ||
объектов и субъектов доступа, санкционируются МБО и МБС на | разрешенных рабочим группам методов доступа к объектам по | ||
основе следующих правил: Правило 3. Порождение субъектом s | непосредственным групповым назначениям; Н – квадратная (MxM) | ||
нового объекта o', в том числе и за счет чтения из другого | матрица смежности объектов доступа; Нг – квадратная (LxL) | ||
объекта o, неопасно и может быть МБО разрешено тогда и только | матрица смежности рабочих групп, аналогичная по смыслу матрице Н | ||
тогда, когда мультирубрика субъекта доминирует над | (hгij=1, если i-я рабочая группа содержит j-ю рабочую групп, | ||
мультирубрикой объекта o, при этом МБО присваивает новому | hгij=0, если не содержит); W – прямоугольная (NxL) матрица | ||
объекту o' мультирубрику, равную или доминирующую над | вхождения пользователей в рабочие группы (wij=1, если i-й | ||
мультирубрикой субъекта: fм[o] ? fм[s] ? fм[o' ]. Правило 4. | пользователь входит в состав j-й рабочей группы; wij=0, в | ||
Инициализация субъектом s нового субъекта s' посредством | противном случае). 1. Теоретико-графовая модель систем | ||
воздействия на объект источник o неопасна и может быть МБС | индивидуально-группового доступа к иерархически организованным | ||
разрешена тогда и только тогда, когда мультирубрика субъекта | информационным ресурсам. | ||
доминирует над мультирубрикой объекта-источника, при этом МБС | 286 | 286. Сочетание прав доступа по прямым назначениям и прав | |
присваивает новому субъекту мультирубрику, тождест-венную | доступа по иерархическому наследованию. Политика простой | ||
мультирубрике инициализирующего субъекта: fм[o] ? fм[s] ? fм[s' | суперпозиции (дизъюнкции) прав по прямым и наследственным | ||
]. | назначениям: rij = {rij1|пр ? rij1|насл , rij2|пр ? rij2|насл , | ||
138 | 138. Правило 5. Одновременный множественный доступ субъекта | …, rijk|пр ? rijk|насл}. Политика приоритетной суперпозиции | |
s к объектам o1, o2,… или субъектов s1, s2,… к объекту o может | (дизъюнкции) прав по прямым и наследственным назначениям с | ||
быть разрешен (неопасен) тогда и только тогда, когда выполняются | приоритетом прямых назначений rij = {rij1|пр ? rij1|насл , | ||
следующие условия: при доступе по чтению fм[s] ? ?м{ fм[o1], | rij2|пр ? rij2|насл , …, rijk|пр ? rijk|насл}. Политика | ||
fм[o2],…} fм[o] ? ?м{ fм[s1], fм[s2],…} при доступе по записи | фильтрационной суперпозиции прав доступа к вложенным объектам | ||
fм[s] ? ?м{ fм[o1], fм[o2],…} fм[o] ? ?м{ fм[s1], fм[s2],…}. 3. | rij = {rij1|пр ? (rij1|насл·?фij1), rij2|пр ? | ||
Модель тематико-иерархического разграничения доступа. 7. | (rij2|насл·?фij2),…, rijk|пр ? (rijk|насл·?фijk)}. 1. | ||
Переходы системы ?Тии, обусловленные запросами на предоставление | Теоретико-графовая модель систем индивидуально-группового | ||
множественных доступов, санкционируются МБО на основе следующего | доступа к иерархически организованным информационным ресурсам. | ||
правила: | 287 | 287. Определение итоговых прав доступа при приоритетной | |
139 | 139. Теорема 1. В системе ?Тии с отображением множества | суперпозиции с учетом структурной вложенности объектов. По | |
субъектов и объектов доступа на множество тематических | спискам доступа. через матрицу смежности объектов доступа Н | ||
мультирубрик, в которой доступы санкционируются по правилам 1, | Rk|итог = Rk|пр ? (НS + I), где НS=Н + Н2 +…+ Нn , ? - | ||
2, 3, 4 и 5, реализуется множество только таких потоков, которые | модифицированная операция матричного умножения на основе | ||
удовлетворяют тематическому критерию безопасности. | ассиметричной дизъюнкции: (Rk|итог)ij=ri1k(hS1jk+?1j) ? | ||
Доказательство. 3. Модели тематико-иерархического разграничения | ri2k(hS2jk+?2j) ? … ? riMk(hSMjk+ ?Mj) , I – единичная матрица; | ||
доступа. По условиям теоремы при санкционировании потока o1? o2 | ?ij – символ Кронекера. 1. Теоретико-графовая модель систем | ||
имеем: fм[s] ? fм[o1] ? fм[o2] ? fм[s] Отсюда следует, что: | индивидуально-группового доступа к иерархически организованным | ||
fм[o2] ? fм[o1] Аналогично по условиям теоремы при | информационным ресурсам. | ||
санкционировании потока s1? s2 имеем fм[s1] ? fм[o] ? fм[s2] ? | 288 | 288. Определение итоговых прав доступа рабочих групп при | |
fм[o] . Отсюда следует, что: fм[s2] ? fм[s1] . | приоритетной суперпозиции с учетом структурной вложенности | ||
140 | Лекция 2.4. Модели безопасности на основе ролевой политики. | рабочих групп и объектов. Rгk|итог=W?(((НгS+I)т?Rгk )?(НS +I)). | |
Тема 2. Модели безопасности компьютерных систем. ? Гайдамакин | Определение итоговых индивидуально-групповых прав доступа с | ||
Н.А., 2008г. ГОС 075200 «Компьютерная безопасность» ОПД.Ф.10 | приоритетом индивидуальных назначений. Коэффициент дублирования | ||
"Теоретические основы компьютерной безопасности" | прав доступа. kиijk= (Rиk|пр ? (НS + I))ij. 1. | ||
Презентация предназначена для отработки и закрепления | Теоретико-графовая модель систем индивидуально-группового | ||
лекционного материала студентами группы КБ МатМех УрГУ. | доступа к иерархически организованным информационным ресурсам. | ||
Распространение и передача презентации третьим лицам | Rигk|итог=Rиk|итог? Rгk|итог= = (Rk|пр? (НS+I)) ? | ||
запрещается. | (W?(((НгS+I)т?Rгk) ? (НS +I))). K гk=W?(((НгS+I)т?Rгk)?(НS+I)). | ||
141 | 1.Модели ролевого доступа 2.Модели индивидуально-группового | 289 | 289. Количественные параметры превышения и недостатка прав |
доступа 3.MMS-модель. Учебные вопросы: 141. Литература: 1. | доступа. R+? = rигитог ?+ rтреб R-? = rигитог ?- rтреб. 1. | ||
Зегжда Д.П.,Ивашко А.М. Основы безопасности информационных | Теоретико-графовая модель систем индивидуально-группового | ||
систем. - М.:Горячая линия - Телеком, 2000. - 452с 2. Гайдамакин | доступа к иерархически организованным информационным ресурсам. | ||
Н.А. Разграничение доступа к информации в ком-пьютерных | 290 | 290. Количественные характеристики системы рабочих групп. | |
системах. - Екатеринбург: Изд-во Урал. Ун-та, 2003. – 328 с. | Количественные характеристики близости пользователей по | ||
3.Корт С.С. Теоретические основы защиты информации: Учеб- ное | потребностям в доступе. 1. Теоретико-графовая модель систем | ||
пособие. – М.: Гелиос АРВ, 2004. – 240с. 4. Девянин П.Н. Модели | индивидуально-группового доступа к иерархически организованным | ||
безопасности компьютерных систем: Учеб. Пособие. – | информационным ресурсам. | ||
М.Издательский центр «Академия», 2005. – 144с. | 291 | 291. 1. Теоретико-графовая модель систем | |
142 | 142. Осн. идея: -политика и система защиты должны учитывать | индивидуально-группового доступа к иерархически организованным | |
организационно-технологическое взаимодействие пользователей. | информационным ресурсам. Пример количественного анализа системы | ||
Неформально Роль: - типовая работа в КС (ИС) определенной группы | индивидуально-группового доступа. Главный бухгалтер (u1) – общее | ||
пользователей. Формально РОЛЬ - активно действующая в КС | руководство подразделением, планирование, контроль деятельности. | ||
абстрактная сущность, обладающая логически взаимосвязанным | Старший бухгалтер (u2) – ведение обобщенного (сводного) | ||
набором полномочий, необходимых для выполнения определенных | финансово-экономического учета и анализа, заме-щение в случае | ||
функциональных обязанностей - выделенная и обособленная | необходимости гл.бух- галтера (отпуск, болезнь, командировка). | ||
совокупность полномочий над определенной группой или тематикой | Бухгалтер (первый) (u4) – бухгалтер-экономист, подменяет ст. | ||
ресурсов (объектов), имеющая отдельное и самостоятельное | бухгалтера. Бухгалтер (второй) (u5) – бухгалтер по заработной | ||
значение в предметной области КС (ИС). Вместо субъекта - | плате, подменяет (первого) бухгалтера и кассира. Кассир (u6) – | ||
пользователь (конкретная активная сущность) - роль (абстрактная | проводки по кассе, выдача зарплаты, подменяет | ||
активная сущность). 1. Модели ролевого доступа. Аналог | табельщика-делопроизводителя и (второго) бухгалтера. | ||
-нормативное положение, функциональные обязанности и права | Табельщик-делопроизводитель (u7) – ведение Табеля рабочего | ||
сотрудников по определенной должности. Например м.Б. Роли- | времени сотрудников организации, а также ведение | ||
кассира, бухгалтера, делопроизводителя, менеджера и т.П. Впервые | делопроизводства подразделения. Инженер-программист (u3) | ||
в продуктах управления доступом корп. IBM(70-80.гг.). | –организация работы локальной информационной сети подразделения. | ||
143 | 143. Система защиты при ролевой политики U - множество | 292 | 292. 1. Теоретико-графовая модель систем |
пользователей; ? - множество ролей; P - множество полномочий на | индивидуально-группового доступа к иерархически организованным | ||
доступ к объектов; S - множество сеансов системы. | информационным ресурсам. Пример количественного анализа системы | ||
Устанавливаются отношения: FP? - P х ? - отображение множества | индивидуально-группового доступа. Система рабочих групп Группа | ||
полномочий на множество ролей, например в виде ролевой матрицы | "Администраторы" (g1) – включает {u1, u3}. Группа | ||
доступа (Ap? ) FU? - U х ? - отображение множества пользователей | "Бухгалтеры" (g2) – включает {u1, u2, u4, u5, u6}. | ||
на множество ролей, например, в виде матрицы | Группа "Исполнители документов" (g3) , включает {u1, | ||
"пользователи-роли", задающая набор доступных | u2, u3, u4, u5, u6, u7}. Группа "Users" (g4) – | ||
пользователю ролей (Au?). Организация доступа в две стадии- | включает {u1, u2, u3, u4, u5, u6, u7, g2, g3}. Права доступа | ||
-создаются роли и для каждой из них определяются полномочия | определяются разрешениями по четырем методам доступа – r1 | ||
-каждому пользователю назначается список доступных ролей. 1. | (чтение), r2 (чтение/запись), r3 (выполнение) и r4 (полный | ||
Модели ролевого доступа. | доступ). Функция fкорр обеспечивает в векторах обнуление r1, | ||
144 | 144. Устанавливаются функции: fuser - S?U - для каждого | если r2=1; обнуление r1, r2, r3, если r4=1; требует r1=1 в | |
сеанса s функция fuser определяет пользователя, который | |насл, если r3=1. | ||
осуществляет этот сеанс работы с системой - fuser(s)=u froles - | 293 | 293. Клиент-серверная финансово-экономическая АИС (ФЭБД) | |
S?P(? ) - для каждого сеанса s функция froles определяет набор | Клиент-серверная АИС делопроизводства/документооборота (ДокБД) | ||
ролей, которые могут быть одновременно доступны пользователю в | Клиент-серверная информационно-правовая система (НормБД) | ||
этом сеансе: froles(s)={?i |( fuser(s), ?i) ? Au?} fpermissions | Локальная АИС "Табель рабочего времени" (БД | ||
- S?P - для каждого сеанса s функция fpermissions задает набор | "Табель") Локальная АИС "Планирование и | ||
доступных в нем полномочий, который определяется как | контроль" (БД "Расписание"). 1. | ||
совокупность полномочий всех ролей, задействованных в этом | Теоретико-графовая модель систем индивидуально-группового | ||
сеансе fpermissions(s)= ???froles(s){pi|(pi , ?)?Ap? }. Критерий | доступа к иерархически организованным информационным ресурсам. | ||
безопасности: -система считается безопасной, если любой | Пример количественного анализа системы индивидуально-группового | ||
пользователь, работающий в сеансе s, может осуществить действия, | доступа. | ||
требующие полномочий p, только в том случае , если p | 294 | 294. 1. Теоретико-графовая модель систем | |
=fpermissions(s). 1. Модели ролевого доступа. | индивидуально-группового доступа к иерархически организованным | ||
145 | 145. Наиболее распространены модели с иерархической | информационным ресурсам. Пример количественного анализа системы | |
организацией ролей. Ролевая политика – особый тип политики, | индивидуально-группового доступа. Групповые назначения g1 – | ||
основанный на компромиссе между гибкостью управлением доступа | полный доступ к объектам сети с запретом доступа к личным папкам | ||
дискреционных моделей и жесткостью правил контроля доступа | сотрудников. g2 – работа в АИС "ФЭБД", доступ к | ||
мандатных моделей. Ближе к реальной жизни. -Чем выше роль по | бухгалтерским АРМ (для подмены работников или выполнения своих | ||
иерархии, тем больше полномочий -если пользователю присвоена | функций на других АРМ, в случае выхода из строя своего), запрет | ||
какая-то роль, то ему автоматически присваиваются все роли ниже | доступа к личным папкам на "не своем" АРМ, запрет | ||
по иерархии. 1. Модели ролевого доступа. | доступа к CDRW на сервере. g3 – работа в АИС "ДокБД", | ||
146 | 146. Отношения: Fh?? - ? х ? - частичное отношение порядка | доступ "чтение/запись" к сетевому принтеру, запрет | |
на множестве ? , которое определяет иерархию ролей и задает на | доступа к CDRW на сервере. g4 – работа в АИС "НормБД", | ||
множестве ? оператор доминирования ?, такой, что если ?1 ? ?2, | доступ "чтение" к расписанию на сервере, запрет | ||
то роль ?1 находится выше по иерархии, чем роль ?2 FhU? - U х ? | доступа к сетевому принтеру, запрет доступа к CDRW на сервере | ||
- назначает каждому пользователю набор ролей, причем вместе с | Индивидуальные назначения права на полный доступ пользователей к | ||
каждой ролью в него (набор ролей) включаются все роли, | "своим" АРМ, доступ к АРМ подменяемых сотрудников с | ||
подчиненные ей по иерархии, т.е. для ? ?,?'? ?, u?U: ? ? ?' ? | запретом доступа к их личным папкам и дисководам | ||
(u,?)? Ahu? ? (u,?')? Ahu? Функции: f hroles - S?P(?) – | "3,5", права выполнения локальных АИС на АРМ | ||
назначает каждому сеансу s определяет набор ролей из иерархии | замещаемых сотрудников (работа в АИС "Планирование и | ||
ролей пользователя, работающего в этом сеансе: f hroles(s)={?i | контроль" на АРМ руководителя для u2, работа в АИС | ||
|(? ?' ? ?i (fuser(s), ?') ? Ahu? )} f hpermissions - S?P – | "Табель рабочего времени" для u6 на АРМ | ||
определяет полномочия сеанса s как совокуп- ность полномочий | табельщика-делопроизводителя). | ||
всех задействованных пользователем в нем ролей и полномочий всех | 295 | 295. 1. Теоретико-графовая модель систем | |
ролей, подчиненных им: f hpermissions(s)= ???f hroles(s){pi|(? | индивидуально-группового доступа к иерархически организованным | ||
?''? ? (pi ,?'')?Ap? )}. Отношения и функции при иерархической | информационным ресурсам. Пример количественного анализа системы | ||
организации ролей. 1. Модели ролевого доступа. | индивидуально-группового доступа. Расчет величин Kдубл, Кпревыш | ||
147 | 147. Агрегация прав при иерархической организации ролей | и ? гij по пяти вариантам системы индивидуально-группового | |
(виды отношения FP?). · Строго таксономический листовой подход; | доступа: 1-й вариант – исходный; 2-й вариант – исключение | ||
· нетаксономический листовой подход; · иерархически охватный | пользователя u3 (инжене-ра-программиста) из групп g3 и g4 (в | ||
подход. Строго таксономический листовой подход. F hp?(? лj) = | силу того, что у группы g1, в которую он входит, имеются полные | ||
{p(j)1, p(j)2,…} , F hp?(? лj) ? F hp?(? лi)?…=? , F hp?(? лj) ? | права доступа ко всей системе за исключением доступа к личным | ||
F hp?(? лi)?…= P . F hp?(? иk) = F hp?(?(k)i) ? ? F hp?(?(k)j) ? | папкам пользователей); 3-й вариант – исключение из группы g4 | ||
… , где {?(k)i, ?(k)j, …} – полный набор ролей-сыновей для роли | групп g2 и g3 и, кроме того, добавление группе g3 прав доступа к | ||
?иk. F hp?(? и1) = P. 1. Модели ролевого доступа. | АИС НормБД; 4-й вариант – исключение из группы g4 всех | ||
148 | 148. Агрегация прав при иерархической организации ролей | пользователей и других групп (группа g4 "гостевая" для | |
(виды отношения FP?). Нетаксономический листовой подход. F hp?(? | временной регистрации и работы в сети сторонних пользователей), | ||
лj) = {p(j)1, p(j)2,…} , F hp?(? лj) ? F hp?(? лi) ? …? ? , F | и аналогично добавление группе g3 прав доступа к АИС НормБД; 5-й | ||
hp?(? иk) = F hp?(?(k)i) ? ? F hp?(?(k)j) ? … , где {?(k)i, | вариант – аналогичный 4-му с дополнительным исключением по | ||
?(k)j, …} – полный набор ролей-сыновей для роли ?иk. 1. Модели | индивидуальным назначениям раз-решений на доступ к АРМ | ||
ролевого доступа. | подменяемых работников, так как необходимый доступ имеется в | ||
149 | 149. Агрегация прав при иерархической организации ролей | разрешениях группы g2 (кроме прав доступа к локальным АИС). | |
(виды отношения FP?). Иерархически охватный подход. F hp?(? лj) | 296 | 296. 1. Теоретико-графовая модель систем | |
= {p(j)1, p(j)2,…} , F hp?(? лj) ? F hp?(? лi) ? …? ? , F | индивидуально-группового доступа к иерархически организованным | ||
hp?(?иk) ? fhp?(?i) = ? , где {? иk ? ?i}. 1. Модели ролевого | информационным ресурсам. Пример количественного анализа системы | ||
доступа. | индивидуально-группового доступа. | ||
150 | 150. Взаимоисключающие роли - множество ролей разбивается на | 297 | 297. 1. Теоретико-графовая модель систем |
подмножества, объединяющие роли, которые не м.б. назначены | индивидуально-группового доступа к иерархически организованным | ||
одновременно одному пользователю (z.b. | информационным ресурсам. Пример количественного анализа системы | ||
"кассир"-"контроллер"). Задается функция | индивидуально-группового доступа. | ||
fexclusive: ??P(? ) , которая для каждой роли определяет | |||
«Компьютерная безопасность» | Компьютерная безопасность.ppt |
«Компьютерные преступления» - Для защиты от несанкционированного доступа к данным, хранящимся на компьютере, используются пароли. Понятие. Часто вмешательство наносит непоправимые имущественные потери. Защита от несанкционированного доступа к информации. Во многих странах мира возрос рост компьютерных преступлений. Компьютерные преступления.
«Программа от вирусов» - Файлы. Программа. Системные области компьютера. Обнаруживают. Для чего? Способная самопроизвольно присоединяться. Небольшая по размерам. Компьютерные вирусы и антивирусные программы. Уничтожают вирусы. Антивирусные программы. Программы- Фильтры Находятся в ОП ПК и выполняют защитные функции. Ап. Сравнивают текущее состояние с исходным.
«Урок Вирусы» - Информационные ресурсы:Интернет, учебная литература. Самостоятельная работа групп по выполнению заданий – 2-3 уроки и внеурочное время. Основной вопрос:Что мешает нам жить и работать? Вирусы человека. Вирусы общества. Формирование групп для проведения исследований – 1 урок,15 минут. Учебные предметы:информатика, биология, анатомия, социология.
«Безопасность в компьютерном классе» - Требования безопасности по окончании работы. Правила безопасности в компьютерном классе. Общие требования безопасности. Затем направьте взгляд вдаль, стараясь увидеть максимально удаленные предметы. Горизонтальные движения глаз: направо - налево. Круговые движения глазами: по часовой стрелке и в противоположном направлении.
«Защита от вирусов» - Эвристический анализ позволяет обнаруживать ранее неизвестные вирусы. Программно-технические методы обнаружения вирусов. Основные методики обнаружения и защиты от вирусов: Эвристический анализ. Основным средством борьбы с вирусами были и остаются антивирусные программы. Антивирусные программы, называемые ревизорами диска, не выполняют поиск вирусов по сигнатурам.
«Вирусы и антивирусные программы» - 5. Резидентные Нерезидентные. Неопасные Опасные Очень опасные. Компьютерные вирусы и антивирусные программы. По среде обитания. Репликаторы Мутанты Невидимки Паразитические Троянские. 2. Вирусы: Сетевые Файловые Загрузочные Файлово-загрузочные. Пути проникновения вирусов и признаки заражения компьютера.