Информационная безопасность Скачать
презентацию
<<  Безопасность информации Компьютерные преступления  >>
Теоретические основы компьютерной безопасности
Теоретические основы компьютерной безопасности
Содержание
Содержание
Содержание
Содержание
4
4
5
5
Программа курса
Программа курса
Программа курса
Программа курса
Литература по курсу
Литература по курсу
Лекция 1.1. Содержание и основные понятия компьютерной безопасности
Лекция 1.1. Содержание и основные понятия компьютерной безопасности
1.История развития теории и практики обеспечения компьютерной
1.История развития теории и практики обеспечения компьютерной
11
11
12
12
13
13
14
14
15
15
16
16
17
17
18
18
19
19
20
20
Лекция 1.2. Угрозы безопасности в компьютерных системах
Лекция 1.2. Угрозы безопасности в компьютерных системах
1. Понятие и классификация угроз 2. Идентификация и таксонометрия
1. Понятие и классификация угроз 2. Идентификация и таксонометрия
23
23
24
24
25
25
26
26
27
27
28
28
29
29
30
30
…
32
32
33
33
34
34
35
35
36
36
37
37
38
38
39
39
40
40
41
41
42
42
43
43
44
44
45
45
46
46
47
47
48
48
Мотивы действий, поступков по осуществлению угроз
Мотивы действий, поступков по осуществлению угроз
Модель нарушителя -совокупность представлений по человечес- кому
Модель нарушителя -совокупность представлений по человечес- кому
51
51
Лекция 1.3. Политика и модели безопасности в компьютерных системах
Лекция 1.3. Политика и модели безопасности в компьютерных системах
1.Понятие политики и моделей безопасности информации в компьютерных
1.Понятие политики и моделей безопасности информации в компьютерных
54
54
55
55
56
56
57
57
58
58
59
59
60
60
61
61
62
62
63
63
64
64
65
65
66
66
67
67
68
68
69
69
70
70
71
71
Лекция 2.1. Модели безопасности на основе дискреционной политики
Лекция 2.1. Модели безопасности на основе дискреционной политики
1.Общая характеристика политики дискреционного доступа 2.Пятимерное
1.Общая характеристика политики дискреционного доступа 2.Пятимерное
74
74
75
75
76
76
77
77
78
78
79
79
80
80
81
81
82
82
83
83
84
84
85
85
86
86
87
87
88
88
89
89
90
90
91
91
92
92
93
93
94
94
95
95
96
96
97
97
98
98
99
99
100
100
101
101
102
102
103
103
104
104
105
105
106
106
107
107
Лекция 2.2. Модели безопасности на основе мандатной политики
Лекция 2.2. Модели безопасности на основе мандатной политики
1.Общая характеристика моделей полномочного (мандатного) доступа 2
1.Общая характеристика моделей полномочного (мандатного) доступа 2
110
110
111
111
112
112
113
113
114
114
115
115
116
116
117
117
118
118
119
119
120
120
121
121
122
122
123
123
Лекция 2.3. Модели безопасности на основе тематической политики
Лекция 2.3. Модели безопасности на основе тематической политики
1.Общая характеристика тематического разграничения доступа 2
1.Общая характеристика тематического разграничения доступа 2
126
126
127
127
128
128
129
129
130
130
131
131
132
132
133
133
134
134
135
135
136
136
137
137
138
138
139
139
Лекция 2.4. Модели безопасности на основе ролевой политики
Лекция 2.4. Модели безопасности на основе ролевой политики
1.Модели ролевого доступа 2.Модели индивидуально-группового доступа 3
1.Модели ролевого доступа 2.Модели индивидуально-группового доступа 3
142
142
143
143
144
144
145
145
146
146
147
147
148
148
149
149
150
150
151
151
152
152
153
153
154
154
155
155
156
156
157
157
158
158
159
159
160
160
Лекция 2.5. Автоматные и теоретико-вероятностные модели невлияния и
Лекция 2.5. Автоматные и теоретико-вероятностные модели невлияния и
1. Понятие и общая характеристика скрытых каналов утечки информации 2
1. Понятие и общая характеристика скрытых каналов утечки информации 2
163
163
164
164
165
165
166
166
167
167
168
168
169
169
170
170
171
171
172
172
173
173
174
174
175
175
Лекция 2.6. Модели и технологии обеспечения целостности данных
Лекция 2.6. Модели и технологии обеспечения целостности данных
1. Общая характеристика моделей и технологий обеспечения целостности
1. Общая характеристика моделей и технологий обеспечения целостности
178
178
179
179
180
180
181
181
182
182
183
183
184
184
185
185
186
186
187
187
188
188
189
189
190
190
191
191
192
192
193
193
194
194
195
195
196
196
Лекция 2.7. Методы и технологии обеспечения доступности (сохранности)
Лекция 2.7. Методы и технологии обеспечения доступности (сохранности)
1. Резервирование архивирование и журнализация данных 2. Технологии и
1. Резервирование архивирование и журнализация данных 2. Технологии и
199
199
200
200
201
201
202
202
203
203
204
204
205
205
206
206
207
207
Лекция 2.8. Политика и модели безопасности в распределенных КС
Лекция 2.8. Политика и модели безопасности в распределенных КС
209
209
210
210
211
211
212
212
213
213
214
214
215
215
216
216
217
217
218
218
219
219
220
220
Лекция 3.1. Методы, критерии и шкалы оценки защищенности
Лекция 3.1. Методы, критерии и шкалы оценки защищенности
Учебные вопросы:
Учебные вопросы:
223
223
224
224
225
225
226
226
227
227
228
228
229
229
230
230
231
231
232
232
233
233
234
234
235
235
236
236
237
237
238
238
239
239
240
240
241
241
242
242
243
243
244
244
245
245
246
246
247
247
248
248
249
249
250
250
251
251
252
252
253
253
254
254
255
255
256
256
257
257
258
258
259
259
260
260
261
261
262
262
263
263
264
264
265
265
266
266
267
267
268
268
269
269
Лекция 3.2. Теоретико-графовые модели комплексной оценки защищенности
Лекция 3.2. Теоретико-графовые модели комплексной оценки защищенности
271
271
272
272
273
273
274
274
275
275
276
276
277
277
278
278
279
279
280
280
Лекция 3.3. Методы анализа и оптимизации индивидуально-групповых
Лекция 3.3. Методы анализа и оптимизации индивидуально-групповых
282
282
283
283
284
284
285
285
286
286
287
287
288
288
289
289
290
290
291
291
292
292
293
293
294
294
295
295
296
296
297
297
Слайды из презентации «Компьютерная безопасность» к уроку информатики на тему «Информационная безопасность»

Автор: Гайдамакин Н.А.. Чтобы увеличить слайд, нажмите на его эскиз. Чтобы использовать презентацию на уроке, скачайте файл «Компьютерная безопасность.ppt» бесплатно в zip-архиве размером 7883 КБ.

Скачать презентацию

Компьютерная безопасность

содержание презентации «Компьютерная безопасность.ppt»
СлайдТекст
1 Теоретические основы компьютерной безопасности

Теоретические основы компьютерной безопасности

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ ГОУ ВПО «Уральский государственный университет им. А.М.Горького» ИОНЦ «Информационная безопасность» Курс общепрофессиональных дисциплин Учебная дисциплина:

Специальность обучения: «Компьютерная безопасность», 5 курс

? Гайдамакин Н.А., 2008 г.

Презентация предназначена для отработки и закрепления лекционного материала студентами группы КБ МатМех УрГУ. Распространение и передача презентации третьим лицам запрещается

2 Содержание

Содержание

Лекция 1.1 Содержание и основные понятия компьютерной безопасности. Лекция 1.2 Угрозы безопасности в компьютерных системах. Лекция 1.3 Политика и модели безопасности в компьютерных системах. Лекция 2.1 Модели безопасности на основе дискреционной политики Лекция 2.2 Модели безопасности на основе мандатной политики Лекция 2.3 Модели безопасности на основе тематической политики Лекция 2.4 Модели безопасности на основе ролевой политики Лекция 2.5 Автоматные и теоретико-вероятностные модели невлияния и невыводимости Лекция 2.6 Модели и технологии обеспечения целостности данных Лекция 2.7 Методы и технологии обеспечения доступности (сохранности) данных

3 Содержание

Содержание

Лекция 2.8 Политика и модели безопасности в распределенных КС Лекция 3.1 Методы, критерии и шкалы оценки защищенности (безопасности) Лекция 3.2 Теоретико-графовые модели комплексной оценки защищенности КС Лекция 3.3 Методы анализа и оптимизации индивидуально-групповых систем разграничения доступа

4 4

4

Общая характеристика специальности 075200 «Компьютерная безопасность»

Квалификация – математик Квалификационная хар-ка выпускника: Область науки и техники, охватывающая совокупность проблем, связанных с построением и доказательным анализом качества защищенных компьютерных систем Объекты проф. деят-ти – защищенные компьютерные системы и средства обработки, хранения и передачи информации; службы защиты информации; математические модели процессов, возникающих при защите информации Виды профессиональной деятельности: производственно-технологическая; организационно-управленческая; экспериментально-исследовательская: разработка и исследование специальных технических и программно- аппаратных средств защиты информации в КС; разработка математических моделей безопасности КС; подбор, изучение и обобщение н/т литературы, нормативных и методических документов по программно-аппаратным средствам и способам обеспечения ИБ КС составление информационных обзоров по вопросам компьютерной безопасности изучение и анализ информационной безопасности современных информационных технологий

5 5

5

ОПД ГОС 075200 «Компьютерная безопасность»

ОПД.Ф.01 «Аппаратные средства вычислительной техники» ОПД.Ф.02 «Методы программирования» ОПД.Ф.03 «Языки программирования» ОПД.Ф.04 «Операционные системы» ОПД.Ф.05 «Вычислительные сети» ОПД.Ф.06 «Системы управления базами данных» ОПД.Ф.07 «Электроника и системотехника» ОПД.Ф.08 «Системы и сети передачи информации» ОПД.Ф.09 «Основы информационной безопасности» ОПД.Ф.10 «Теоретические основы компьютерной безопасности» ОПД.Ф.11 «Организационно-правовое обеспечение информационной безопасности» ОПД.Ф.12 «Технические средства и методы защиты информации» ОПД.Ф.13 «Криптографические методы защиты информации» ОПД.Ф.14 «Программно-аппаратные средства обеспечения информационной безопасности» Защита программ и данных Защита в операционных системах Защита в сетях Защита в СУБД ОПД.Ф.15 «Основы управленческой деятельности» ОПД.Ф.16 «Безопасность жизнедеятельности»

6 Программа курса

Программа курса

6

1. Исходные положения теории компьютерной безопасности

1.1. Содержание и основные понятия компьютерной безопасности (история ТКБ, основные направления обеспечения КБ, информация как объект защиты, конфиденциальность, целостность и доступность информации) 1.2. Угрозы безопасности в КС (классификация и аксонометрия угроз безопасности информации в КС, оценивание угроз) 1.3. Политика и модели безопасности в КС (монитор безопасности и основ-ные типы политик безопасности в КС, изолированная программная среда)

2. Модели безопасности компьютерных систем

2.1. Модели разграничения доступа (дискреционные модели - модели на основе матрицы доступа; модели распространения прав доступа - модель Харрисона-Руззо-Ульмана, теоретико-графовая модель TAKE-GRANT; мандатные модели – модель Белла-ЛаПадуллы и ее расширения, модель тематического разграничения доступа на основе иерархических рубрикаторов; теоретико-информационные модели – модель информационного невмешательства, модель информационной невыводимости, модели ролевого доступа) 2.2. Модели и технологии обеспечения целостности компьютерной информации (субъектно-объектные модели – дискреционная модель Биба, мандатная модель Кларка-Вильсона; технологии ЭЦП, технологии обеспе-чения целостности мониторами транзакций в клиент-серверных СУБД) 2.3. Модели и механизмы обеспечения правомерной доступности (сохранности) компьютерной информации (резервирование и журнализация данных, модели и технологии репликации данных) 2.4. Модели безопасности распределенных КС (модель Варахараджана, зональная модель безопасности)

7 Программа курса

Программа курса

7

3. Методы, анализа и оценки защищенности компьютерных систем

3.1. Методы, критерии и шкалы оценки защищенности КС (порядковые, ранговые, интервальные шкалы измерений; содержание объекта оценки и способы оценки) 3.3. Теоретико-графовые модели комплексной оценки защищенности КС (модель системы с полным перекрытием, модель Клементса, гиперграфовая модель) 3.3. Теоретико-графовая модель анализа системы индивидуально-группового доступа к иерархически организованным информационным ресурсам

8 Литература по курсу

Литература по курсу

8

1. Хоффман Л. Современные методы защиты информации. М.:Сов.радио, 1980. – 264с. 2. Грушо А.А.,Тимонина Е.Е. Теоретические основы защиты информации. М.:Яхтсмен, 1996. - 192с. 3. Теория и практика обеспечения информационной безопасности / Под ред. П.Д. Зегжды. М.:Яхтсмен, 1996. - 302с 4. Прокопьев И.В., Шрамков И.Г., Щербаков А.Ю. Введение в теоретические основы компьютерной безопасности : Уч. пособие. М., 1998.- 184с. 5. Зегжда Д.П.,Ивашко А.М. Основы безопасности информационных систем. - М.:Горячая линия - Телеком, 2000. - 452с. 6. Теоретические основы компьютерной безопасности: Учеб. пособие для вузов / П.Н. Девянин, О.О.Михальский, Д.И.Правиков и др.- М.: Радио и Связь, 2000. - 192с. 8. Щербаков А.Ю. Введение в теорию и практику компьютерной безопасности. М.: издатель Молгачев С.В.- 2001- 352 с. 9.Гайдамакин Н.А. Разграничение доступа к информации в компью-терных системах. - Екатеринбург: изд-во Урал. Ун-та, 2003. – 328 с. 10. Корт С.С. Теоретические основы защиты информации: Учебное пособие. – М.: Гелиос АРВ, 2004. – 240 с. 11.Девянин П.Н. Модели безопасности компьютерных систем: Учеб. пособие. – М.: Изд.центр «Академия», 2005. – 144 с.

9 Лекция 1.1. Содержание и основные понятия компьютерной безопасности

Лекция 1.1. Содержание и основные понятия компьютерной безопасности

9

Тема 1. Основы теории компьютерной безопасности

ГОС 075200 «Компьютерная безопасность»

? Гайдамакин Н.А., 2008г.

ОПД.Ф.10 «Теоретические основы компьютерной безопасности»

10 1.История развития теории и практики обеспечения компьютерной

1.История развития теории и практики обеспечения компьютерной

безопасности 2.Содержание и структура понятия компьютерной безопасности 3.Общая характеристика принципов, методов и механизмов обеспечения компьютерной безопасности.

Учебные вопросы:

10

11 11

11

Защита информации – проблема с древнейших времен

Специфика компьютерной формы информации:

в результате – КС и ИБ – неотделимые понятия

Защита (обеспечение) безопасности информации – не просто вспомогательная, но одна из главных (основных) функций КС при их создании и эксплуатации

1. История развития теории и практики обеспечения компьютерной безопасности

Возможность получения доступа к большим объемам информации в локальном физическом сосредоточении возможность быстрого или мгновенного копирование огромных объемов информации и, как правило, без следов возможность быстрого или мгновенного разрушения или искажения огромных объемов информации

Провоцирует на посягательство

12 12

12

Основные этапы развития теории и практики КБ:

1. История развития теории и практики обеспечения компьютерной безопасности

13 13

13

Основные этапы развития теории и практики КБ:

1. История развития теории и практики обеспечения компьютерной безопасности

14 14

14

Основные этапы развития теории и практики КБ:

1. История развития теории и практики обеспечения компьютерной безопасности

В.А.Герасименко - 1991г., модель системно-концептуального подхода к безопасности Грушо А.А., Тимонина Е.Е. – 1996г., гарантированность защи-щенности АС как математическое доказательство гаранти-рованного выполнения априорно заданной политики без-ти Расторгуев С.П., начало 90-х г.г. - теория разрушающих программных воздействий, середина 90-х г.г. - теория информационного противоборства Щербаков А.Ю. – 90-е г.г., субъектно-объектная модель изолированной программной среды СПб школа Зегжды П.Д. – середина 90-х г.г., таксонометрия изъянов безопасности КС Школа ИКСИ (Б.А.Погорелов, А.П.Коваленко) – конец 90-х г.г., государственные образовательные стандарты подготов-ки специалистов в сфере компьютерной безопасности

Отечественная школа КБ

15 15

15

Методологическая база - понятие безопасности (з-н "О безопасности", 1993г.)

Иерархия понятий:

Информационная безопасность РФ - состояние защищенности ее (РФ) национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства (Доктрина ИБ РФ)

2. Содержание и структура понятия компьютерной безопасности

Безопасность

Информационная Безопасность

Компьютерная Безопасность

Безопасность компьютерной информации

- Состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз

Компьютерная безопасность – состояние защищенности (безопасность) информации в компьютерных системах и безотказность (надежность) функционирования компьютерных систем

16 16

16

Безотказность (надежность) функционирования КС

Безопасность информации в КС

Компьютерная безопасность

2. Содержание и структура понятия компьютерной безопасности

Обеспечение аутентично-сти реализации функций

Обеспечение безотказно-сти реализации функций

Обеспече-ние конфи-денци-ально-сти информа-ции

Обеспече-ние целост-ности информа-ции

Обеспече-ние доступ-ности информа-ции

Обеспе-чение цело-стно-сти параметров ПО

Обеспе-чение цело-стно-сти ПО

Обеспе-чение безотказно сти ПО

Обеспе-чение безотказности оборудования

- Свойство информации, субъективно устанавливаемое ее собственником, когда ему может быть причинен ущерб от ознакомления с информацией неуполномоченных на то лиц, при условии того, что собственник принимает меры по организации доступа к информации только уполномоченных лиц

- Неискаженность, достоверность, полнота, адекватность и т.Д., Т.Е. Такое свойство информации, при котором ее содержание и структура (данных) определены уполномоченными лицами и процессами

- Такое свойство информации, при котором отсутствуют препятствия доступа к информации и закономерному ее использованию собственником или уполномоченными лицами

17 17

17

Безопасность информации - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации от утечки, хищения, утраты, несанкционированного уничтожения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.

Методы и средства нейтрализации, предотвращения угроз или снижения ущерба

Субъект защиты

Угрозы (формы, методы осуществления)

Субъект (источник) угроз

2. Содержание и структура понятия компьютерной безопасности

Нарушение конфиден- денциальности, целост- ности, доступности, безотказности функций

Объект защиты- компьютерная информация, функции КС

18 18

18

Общие принципы обеспечения компьютерной безопасности

3. Общая характеристика принципов, методов и механизмов обеспечения компьютерной безопасности

Разумной достаточности

Целенаправленности

Системности

Комплексности

-внедрение в архитектуру, в алгоритмы и технологии функционирования КС защитных механизмов, функций и процедур объективно вызывает дополнительные затраты, издержки при создании и эксплуатации КС, ограничивает, снижает функциональные возможности КС и параметры ее эффективности (быстродействие, задействуемые ресурсы), вызывает неудобства в работе пользователям КС, налагает на них дополнительные нагрузки и требования — поэтому защита должна быть разумно достаточной (на минимально необходимом уровне)

-устранение, нейтрализация (либо обеспечение снижения потенциального ущерба) конкретного перечня угроз (опасностей), характерных для конкретной КС в конкретных условиях ее создания и эксплуатации

-выбор защитных механизмов с учетом системной сути КС, как органи-зационно-технологической человеко-машинной системы, состоящей из взаимосвязанных, составляющих единое целое функциональных, программных, технических, организационно-технологических подсистем

-Выбор защитных механизмов различной и наиболее целесообразной в конкретных условиях природы – программно-алгоритмических, процедурно-технологических, нормативно-организационных, и на всех стадиях жизненного цикла – на этапах создания, эксплуатации и вывода из строя

19 19

19

Общие принципы обеспечения компьютерной безопасности

3. Общая характеристика принципов, методов и механизмов обеспечения компьютерной безопасности

Непрерывности

Управляемость

Сочетания унификации и оригинальности

-Защитные механизмы должны функционировать в любых ситуациях в т.Ч. И внештатных, обеспечивая как конфиденциальность, целостность, так и сохранность (правомерную доступность)

-система защиты КС строится как система управления – объект управления (угрозы безопасности и процедуры функционирования КС), субъект управления (средства и механизмы защиты), среда функционирования, обратная связь в цикле управления, целевая функция управления (снижение риска от угроз безопасности до требуемого (приемлемого) уровня), контроль эффективности (результативности) функционирования

-с одной стороны с учетом опыта создания и применения КС, опыта обеспечения безопасности КС должны применяться максимально проверенные, стандартизированные и унифицированные архитектурные, программно-алгоритмические, организационно-технологические решения, -с другой стороны, с учетом динамики развития ИТ, диалектики средств нападения и защиты должны разрабатываться и внедряться новые оригинальные архитектурные, программно-алгоритмические, организационно-технологические решения, обеспечивающие безопасность КС в новых условиях угроз, с минимизацией затрат и издержек, повышением эффективности и параметров функционирования КС, снижением требований к пользователям

20 20

20

3. Общая характеристика принципов, методов и механизмов обеспечения компьютерной безопасности

Систематика методов и механизмов обеспечения КБ

Конфиденциальность

Целостность

Доступность

21 Лекция 1.2. Угрозы безопасности в компьютерных системах

Лекция 1.2. Угрозы безопасности в компьютерных системах

Тема 1. Исходные положения теории компьютерной безопасности

ГОС 075200 «Компьютерная безопасность»

? Гайдамакин Н.А., 2008г.

ОПД.Ф.10 «Теоретические основы компьютерной безопасности»

Презентация предназначена для отработки и закрепления лекционного материала студентами группы КБ МатМех УрГУ. Распространение и передача презентации третьим лицам запрещается

22 1. Понятие и классификация угроз 2. Идентификация и таксонометрия

1. Понятие и классификация угроз 2. Идентификация и таксонометрия

(каталогизация) угроз 3. Оценивание угроз 4. Человеческий фактор в угрозах безопасности и модель нарушителя.

Учебные вопросы:

22

Литература: 1. ГОСТ Р 51275-99. Защита информации. Объект информа- тизации. Факторы, воздействующие на информацию 2. Bundesamt f?r Sicherheit der Informationstechnik (Германский стандарт безопасности IT), http://www.bsi.de 3. РД ГосТехКомиссии России. Безопасность ИТ. Руководство по формированию семейств профилей защиты 4. ГОСТ Р ИСО 7498-2-99. Взаимосвязь открытых систем. Базовая эталонная модель. Ч.2. Архитектура защиты информации

23 23

23

1. Понятие и классификация угроз

Угроза безопасности

24 24

24

1. Понятие и классификация угроз

Систематизация – приведение в систему, т.е. в нечто целое, представляющее собой единство закономерно расположенных и находящихся во взаимной связи частей; выстраивание в определенный порядок. Частным случаем систематизации является классификация

Классификация – последовательное деление понятий, проводимое по характеристикам и параметрам, существенным с точки зрения исследовательской задачи

Существенные параметры и характеристики называются основаниями, критериями классификации

Выделяется таксономическая классификация (род-вид) мереологическая классификация (часть-целое) фасетная классификация (аналитико-синтетическая)

25 25

25

1. Понятие и классификация угроз

Угрозы

26 26

26

1. Понятие и классификация угроз

Угрозы по природе происхождения

Отказы и сбои аппаратуры - определяются качеством и надежностью аппаратуры - техническими решениями и др. факторами

Помехи на линиях связи от внешних воздействий - правильность выбора места (маршрута) прокладки - технических решений по помехозащищенности - э/м обстановки

Схемные и системотехнические ошибки разработчиков Структурные, алгоритмические и программные ошибки - специальные методы проектирования и разработки - специальные процедуры тестирования и отладки

Аварийные ситуации - по выходу из строя электропитания - по стихийным бедствиям - по выходу из строя систем жизнеобеспечения

А

27 27

27

Преднамеренные (субъективные)

1. Понятие и классификация угроз

Угрозы по природе происхождения

- Вызванные человеком или связанные с действиями человека, определяются т.Н. Человеческим фактором (мотивы, категории, возможности)

Общий ландшафт инцидентов в IT-сфере РФ

А

28 28

28

1. Понятие и классификация угроз

Угрозы по направлению осуществления

Причины, источники: недружественное (враждебное) окружение дестабилизирующие факторы внешней среды

Внутренняя зона КС

Зона контролируемой территории

Зона помещений КС

Зона ресурсов КС

B

29 29

29

1. Понятие и классификация угроз

Соотношение некоторых видов угроз

Соотношение внешних и внутренних (т.н. инсайдерских) угроз

30 30

30

2. Идентификация и таксонометрия (каталогизация) угроз

ГОСТ Р ИСО/МЭК 15408-2002,ч.1

Процесс создания КС в аспекте обеспечения безопасности: 1.Идентификация и оценка защищаемых активов (конфиденциальность, целостность, доступность) и функций КС 2.Идентификация угроз безопасности (выявление и спецификация - источники/ природа; активы/функции, подвергаемые воздействию; методы/способы/ особенности реализации; используемые уязвимости) и их оценка 3.Выбор и обоснование функциональных требований к КС (архитектура и лежащие в ее основе модели обеспечения конфиденциальности/целостности/ доступности; функции обеспечения безопасности) 4.Реализация функциональных требований в процессе проектирования/создания 5.Оценка степени реализации функциональных требований (сертификация по требованиям безопасности), в т.ч. возможных уязвимостей, брешей безопасн-ти

31 …

31

2. Идентификация и таксонометрия (каталогизация) угроз

Идентификация угроз -установление из всех возможных - тех угроз, которые имеют место быть (существуют, актуальны, воздействуют) для данной КС в процессах ее создания и эксплуатации; -основывается на использовании таксономических классификационных перечней угроз (каталогов угроз), закрепляемых в стандартах и др. нормативно-методических документах и анализе актуальности тех или иных угроз в отношении активов (ресурсов КС) и их ценности

Угр.2. Раскрытие данных путем анализа остаточной информации

Перечень угроз для КС

Угроза актуальна?

раскрытие данных путем доступа к файлам БД средствами ОС

Угр.1. Раскрытие данных путем доступа к файлам БД средствами ОС

Раскрытие данных путем анализа остаточной информации

ошибочное уничтожение данных пользователями КС

32 32

32

2. Идентификация и таксонометрия (каталогизация) угроз

Каталоги (таксономические схемы классификации) угроз безопасности

ГОСТ Р 51275-99. Защита информации. Объект информа- тизации. Факторы, воздействующие на информацию. http://linux.nist.fss.ru

Bundesamt f?r Sicherheit der Informationstechnik (Германский стандарт безопасности IT), http://www.bsi.de

РД ГосТехКомиссии России. Безопасность ИТ. Руководство по формированию семейств профилей защиты. http://www.fstec.ru

33 33

33

2. Идентификация и таксонометрия (каталогизация) угроз

Факторы, воздействующие на информацию (ГОСТ Р 51275-99)

Класс

Подкласс

Группа

Под группа

Вид

Подвид

34 34

34

2. Идентификация и таксонометрия (каталогизация) угроз

Классы, подклассы и группы факторов (ГОСТ Р 51275-99)

35 35

35

2. Идентификация и таксонометрия (каталогизация) угроз

36 36

36

2. Идентификация и таксонометрия (каталогизация) угроз

Методология объектов и угроз в продуктах и системах ИТ (РД ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г., пример)

Аспекты угрозы

Угрозы данным на носителях

Угрозы данным в телекоммуникационных линиях

Угрозы прикладным программам (приложениям)

Угрозы прикладным процессам и данным

Угрозы отображаемым данным

Угрозы вводимым данным

Угрозы данным, выводимым на печать

Угрозы данным пользователей

Угрозы системным службам и данным

Угрозы информационному оборудованию

- Источник угрозы (люди либо иные факторы)

- Предполагаемый метод (способ, особенности) нападения/реализации

- Уязвимости, которые м.Б. Использованы для нападения/реализации

- Активы, подверженные нападению/реализации

37 37

37

2. Идентификация и таксонометрия (каталогизация) угроз

Угрозы защищаемым активам в продуктах и системах ИТ (РД ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г., пример)

Данные на носителях

Данные раскрыты путем незаконного перемещения носителя

Обращение к данным, изменение, удаление, добавление в приложение или извлечение из приложения данных неуполномоченным лицом

Данные раскрыты путем их выгрузки с носителя данных неуполномоченным лицом

Использование остаточной информации на носителе

Незаконное копирование данных

Данные незаконно используются, или их использование затруднено из-за изменения атрибутов доступа к данным неуполномоченным лицом

Данные получены незаконно путем фальсификации файла

Данные повреждены из-за разрушения носителя

Данные уничтожены или их использование затруднено из-за неисправности устройства ввода-вывода

Обращение к данным, изменение, удаление, добавление в приложение или извлечение из приложения данных неуполномоченным лицом путем использования соответствующей команды

Зашифрованные данные не могут быть дешифрованы из-за потери секретного ключа

Данные ошибочно удалены уполномоченным лицом

38 38

38

2. Идентификация и таксонометрия (каталогизация) угроз

Угрозы защищаемым активам в продуктах и системах ИТ (РД ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г., пример)

Данные в телекоммуникационных линиях

Прикладные программы (приложения)

Данные перехвачены или разрушены в телекоммуникационной линии

Данные прослушиваются, незаконно умышленно изменены, искажены, похищены, удалены или дополнены в системе коммутации

Данные незаконно используются в результате подмены их адресата, отправителя или изменения атрибутов доступа в системе коммутации

Связь заблокирована из-за повреждения линии

Связь заблокирована из-за аномалий в канале связи

Несанкционированная повторная передача данных в неразрешенный адрес

Выполнение приложения неуполномоченным лицом

Обращение к данным в библиотеке программ, модификация или удаление данных в библиотеке программ неуполномоченным лицом

Незаконное использование программы или затруднение ее использования путем изменения ее атрибутов доступа неуполномоченным лицом

Аномалии в ходе выполнения программы из-за аппаратного отказа компьютера

39 39

39

2. Идентификация и таксонометрия (каталогизация) угроз

Угрозы защищаемым активам в продуктах и системах ИТ (РД ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г., пример)

Прикладные процессы и данные

Отображаемые данные

Вводимые данные

Несанкционированное использование прикладных процессов (например, запросов по telnet и FTP)

Блокировка прикладных процессов (атаки, направленные на переполнение трафика, например, запросы на обработку потока ненужных данных)

Отрицание факта обмена данными или отрицание их содержания

Отказ от авторства данных

Несанкционированная передача данных

Несанкционированное использование данных или программ путем использования оставшихся в программах отладочных функций

Необоснованный отказ от предоставления услуги

Незаконное умышленное изменение, искажение, похищение, удаление или разрушение данных

Несанкционированное выполнение операций

Нарушение конфиденциальности

Просмотр данных неуполномоченным лицом

Несанкционированное копирование или печать

Данные раскрыты во время ввода

Введенные данные несанкционированно изъяты (или удалены)

40 40

40

2. Идентификация и таксонометрия (каталогизация) угроз

Угрозы защищаемым активам в продуктах и системах ИТ (РД ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г., пример)

Данные, выводимые на печать

Данные пользователей

Ознакомление или изъятие данных неуполномоченным лицом

Несанкционированное копирование

Пользователь (человек, система, терминал) не может быть идентифицирован

Маскировка путем использования раскрытой идентификационной информации пользователя (человека, системы, терминала)

Пользователь не идентифицирован

Маскировка путем использования незаконно раскрытой информации аутентификации

Маскировка путем незаконного (логического) вывода аутентификационной информации

Маскировка путем использования недействительной аутентификационной информации

Использование недействительного права из-за сбоя журнала регистрации прав пользователей

Действия пользователя несанкционированно раскрыты (нарушение конфиденциальности)

Отрицание факта передачи данных

Отрицание владения данными

Отрицание факта приема данных

Данные посланы несоответствующему получателю вследствие его маскировки под авторизованного пользователя или ошибки спецификации

Маскировка путем подделки информации аутентификации

41 41

41

2. Идентификация и таксонометрия (каталогизация) угроз

Угрозы защищаемым активам в продуктах и системах ИТ (РД ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г., пример)

Системные службы и данные

Информационное оборудование

Нарушение безопасности системы путем раскрытия секретного ключа шифрования

Система незаконно используется пользователем, который выдает себя за оператора во время отсутствия оператора

Нарушение безопасности системы вследствие несанкционированного действия или ошибки уполномоченного пользователя

Внедрение вирусов

Несанкционированное проникновение в систему

Проникновение в систему, используя известные дефекты протоколов (например, протокола IP)

Нарушение безопасности системы вследствие несанкционированной замены системной программы

Обслуживание прекращено из-за разрушения системной программы

Несанкционированная системная операция

Повреждение или изъятие

Отключение питания

42 42

42

2. Идентификация и таксонометрия (каталогизация) угроз

Потенциальные бреши безопасности (по Зегжде)

Ошибки в системах защиты, служа-щие источ-ником ПББ

С деструктив-ными функ-ми (активные)

Предна-мерен-ные

Рпс

Черные ходы, люки

Скрытые каналы

Без десруктив-ных функций

Ошибки контроля допустимых значений параметров

Ошибки определения областей (доменов)

Ошибки последов-ти действий и использ-я имен

Случай-ные

Ошибки идентификации, аутентификации

Ошибки проверки границ объектов

Другие ошибки в логике функционирования

Несамовоспроизводящиеся (Трояны)

Самовоспроизводящиеся (Вирусы)

По памяти

По времени

Другие

43 43

43

2. Идентификация и таксонометрия (каталогизация) угроз

Потенциальные бреши безопасности (Зегжда)

ППБ по месту размеще-ния в КС

8

Инициализация ОС (загрузка)

Програм-мное обеспе-чение

Опера-ционные системы

2

Управление выделением памяти

10

Управление процессами

3

Управление устройствами

6

Управление файловой системой

5

Средства идент-ии и аутентификации

1

Другие (неизвестные)

Сервисные програм-мы и ути-литы

10

Привилегированные утилиты

1

Непривилегированные утилиты

2

Прикладные программы

3

Аппаратное обеспечение

44 44

44

3. Оценивание угроз

Общая схема оценивания угроз

Ущ = Pуг * Сто

45 45

45

3. Оценивание угроз

Методы оценивания вероятности угроз

Априорные, на основе моделей и статистических характеристик физических процессов, реализующих соотв. угрозы (z.b. на основе Пуассоновского распределения вероятности моторных ошибок человека-оператора при вводе информации с клавиатуры с ?= - 2•10-2... 4•10-3 )

Апостериорные, на основе гистограмм распределения событий проявления соотв. угроз по результатам эксплуатации КС

Экспертные, на основе экспертных оценок специалистов

Методики экспертных оценок

Отбор экспертов (формальные и неформальные требования, метод «снежного кома», 10-12 экспертов) Выбор параметров, по которым оцениваются объекты (стоимость, важность, веса параметров) Выбор шкал оценивания (методов экспертного шкалирования)

46 46

46

3. Оценивание угроз

Методы оценивания вероятности угроз

Процедуры опроса экспертов (метод «Дельфи») Агрегирование оценок, анализ их устойчивости и согласованности

Методы экспертного шкалирования

Ранжированием

47 47

47

Роль человека в угрозах безопасности информации:

- Носитель/источник угроз (как внутренних, так и внешних, как случайных, так и преднамеренных)

- Средство, орудие осуществления угроз (всех преднамеренных и определенной части случайных угроз)

- предмет, объект, среда осуществления угроз (как элемента человеко-машинной КС)

4. Человеческий фактор в угрозах безопасности и модель нарушителя

Человеческий фактор в угрозах

48 48

48

4. Человеческий фактор в угрозах безопасности и модель нарушителя

Структура потенциальных нарушителей (злоумышленников)

Иные сферы

•Персонал, непосредственно связанный с КС ••обслуживающий персонал •••администраторы ••••системные ••••безопасности •••инженеры-программисты ••••системные ••••прикладные •••руководители служб ИТ ••обслуживаемый персонал ••• пользователи ••••индивидуальные ••••члены раб. групп ••••руководители подр-й •Персонал, не связанный непосредственно с КС ••руководители ••прочие работники

Сторонние эксперты, конс.

Родственники, друзья

Бывшие работники

49 Мотивы действий, поступков по осуществлению угроз

Мотивы действий, поступков по осуществлению угроз

49

Осознанные - Корысть, нажива - Политика, власть, шпионаж - Исследовательский интерес

Неосознанные (не вполне, не до конца осознаваемые) - Хулиганство - Месть - Зависть - Недовольство - Небрежность, недобросовестность

4. Человеческий фактор в угрозах безопасности и модель нарушителя

50 Модель нарушителя -совокупность представлений по человечес- кому

Модель нарушителя -совокупность представлений по человечес- кому

фактору осуществления угроз безопасности.

50

- Категории лиц, в числе которых может оказаться нарушитель - его мотивационные основания и преследуемые цели - его возможности по осуществлению тех или иных угроз (квалификация, техническая и иная инструментальная оснащенность) - наиболее вероятные способы его действий

Исходное основание для разработки и синтеза системы защиты информации!!!

4. Человеческий фактор в угрозах безопасности и модель нарушителя

51 51

51

Модель нарушителя

4. Человеческий фактор в угрозах безопасности и модель нарушителя

Модель внутреннего нарушителя по РД ГосТехКомисии

!!! Концепция ориентируется на физически защищенную среду - - нарушитель безопасности как "субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС"

4-й (высший) уровень возможностей нарушителя Весь объем возможностей лиц, осуществляю- щих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке ин- формации

3-й уровень Возможность управления функционирова- нием АС, т.е. воздействием на базовое програм- мное обеспече- ние системы и на состав и конфигурацию оборудования

2-й уровень Возможность создания и запуска собственных программ с новыми функциями по обработке информации

1-й уровень Запуск задач (программ) из фикси- рованного набора, реализующих заранее предусмотренные функции по обработке информации

52 Лекция 1.3. Политика и модели безопасности в компьютерных системах

Лекция 1.3. Политика и модели безопасности в компьютерных системах

Тема 1. Исходные положения теории компьютерной безопасности

ГОС 075200 «Компьютерная безопасность»

? Гайдамакин Н.А., 2008г.

ОПД.Ф.10 «Теоретические основы компьютерной безопасности»

Презентация предназначена для отработки и закрепления лекционного материала студентами группы КБ МатМех УрГУ. Распространение и передача презентации третьим лицам запрещается

53 1.Понятие политики и моделей безопасности информации в компьютерных

1.Понятие политики и моделей безопасности информации в компьютерных

системах 2.Монитор (ядро) безопасности КС 3.Гарантирование выполнения политики безопасности. Изолированная программная среда.

Учебные вопросы:

53

1.Теория и практика обеспечения информационной безопасности / Под ред. П.Д. Зегжды. М.:Яхтсмен, 1996. - 302с 2. Грушо А.А.,Тимонина Е.Е.Теоретические основы защиты информации. М.:Яхтсмен, 1996. - 192с 3. Баранов А.П., Борисенко Н.П., Зегжда П.Д, Корт С.С., Ростовцев А.Г. Математические основы информационной безопасности. - Орел, ВИПС, 1997.- 354с. 4. Прокопьев И.В., Шрамков И.Г., Щербаков А.Ю. Введение в теоретические основы компьютерной безопасности : Уч. пособие. М., 1998.- 184с. 5. Щербаков А.Ю. Введение в теорию и практику компьютерной безопасности. М.: издатель Молгачев С.В.- 2001- 352 с.

54 54

54

Политика безопасности КС -интегральная (качественная) характеристика, описывающая свойства, принципы и правила защищенности информации в КС в заданном пространстве угроз

Модель безопасности -формальное (математическое, алгоритмическое, схемотехническое и т.п.) выражение политики безопасности

Модель безопасности служит для: -выбора и обоснования базовых принципов архитектуры, определяющих механизмы реализации средств защиты информации -подтверждения свойств (защищенности) разрабатываемой системы путем формального доказательства соблюдения политики (требований, условий, критериев) безопасности -составления формальной спецификации политики безопасности разрабатываемой системы

Политика безопасности организации -совокупность руководящих принципов, правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности (ГОСТ Р ИСО/МЭК 15408)

1.Понятие политики и моделей безопасности информации в КС

55 55

55

Модель безопасности включает: -модель компьютерной системы -критерии, принципы или целевые функции защищенности и угроз -формализованные правила, алгоритмы, механизмы безопасного функционирования КС

Большинство моделей КС относится к классу моделей конечных состояний

1. Компьютерная система – система, функционирующая в дискретном времени: t0,t1,t2,…,tk,… В каждый следующий момент времени tk КС переходит в новое состояние. В результате функционирование КС представляет собой детерминированный или случайный процесс - стационарность (временн?е поведение [количественных] параметров системы) - эргодичность (поведение параметров системы по совокупность реализаций) - марковость (память по параметрам системы)

2. Модели конечных состояний позволяют описать (спрогнозировать) состояние КС в момент времени tn,(n?1), если известно состояние в момент t0 и установлены некоторые правила (алгоритмы, ограничения) на переходы системы из состояния tk в tk+1

1.Понятие политики и моделей безопасности информации в КС

56 56

56

Большинство моделей конечных состояний представляет КС системой взаимодействующих сущностей двух типов субъектов и субъектов (т.н. субъектно-объектные модели КС)

3. В каждый момент времени tk КС представляется конечным множеством элементов, разделяемых на два подмножества: -множество субъектов - S -множество объектов – O

4. В каждый момент времени tk субъекты могут порождать процессы над объектами, называемыми доступами Доступы субъектов к объектам порождают информационные потоки, переводящие КС в новое состояние tk+1 , в котором в т.ч. м. измениться декомпозиция КС на множество субъектов и множество объектов

Т.о. процесс функ-я КС нестационарный

1.Понятие политики и моделей безопасности информации в КС

57 57

57

Отличия пользователя от субъекта Пользователь - лицо, внешний фактор, управляющий одним или несколькими субъектами, воспринимающий объекты и получающий информацию о состоянии КС через субъекты, которыми он управляет

Свойства субъектов: -угрозы информации исходят от субъектов, изменяющих состояние объектов в КС -субъекты-инициаторы могут порождать через объекты-источники новые объекты -субъекты могут порождать потоки (передачу) информации от одних объектов к другим

1.Понятие политики и моделей безопасности информации в КС

58 58

58

- Объекты-источники; - объекты-данные

Множество объектов можно разделить на два непересекающихся подмножества

Определение 1.Объект Oi называется источником для субъекта Sm если существует субъект Sj , в результате воздейст- вия которого на объект Oi возникает субъект Sm Sj – активизирующий субъект для субъекта Sm Sm – порожденный субъект

Create(Sj , Oi)? Sm

Определение 2.Объект в момент времени tk ассоциирован с субъектом , если состояние объекта Oi повлияло на состояние субъекта Sm в след. момент времени tk+1. (т.е. субъект Sm использует информацию, содержащуюся в объекте Oi). Можно выделить: - множество функционально-ассоциированных объектов - множество ассоциированных объектов-данных с субъектом Sm в момент времени tk

1.Понятие политики и моделей безопасности информации в КС

Субъектно-объектная модель Щербакова

Функционирование КС – нестационарный процесс, но в субъектно-объектной модели КС действует дискретное время ti. В любой момент времени ti множество субъектов, объектов-источников, объектов-данных фиксировано!!!

Следствие 2.1. В момент порождения объект-источник является ассоциированным с порожденным субъектом

59 59

59

Определение 3.Потоком информации между объектом Oi и объектом Oj называется называется произвольная операция над объектом Oj, осуществляемая субъектом Sm , и зависящая от объекта Oi

Stream(Sm ,Oi)? Oj

– Потоки информации м.Б. Только между объектами (а не между субъектом и объектом) – объекты м.Б. Как ассоциированы, так и не ассоциированы с субъектом sm – операция порождения потока локализована в субъекте и сопровождается изменением состояния ассоциированных (отображающих субъект) объектов – операция stream может осуществляться в виде "чтения", "записи", "уничтожения", "создания" объекта

Определение 4.Доступом субъекта к объекту Oj называется порождение субъектом Sm потока информации между объектом Oj и некоторым(и) объектом Oi (в т.ч., но не обязательно, объект Oi ассоциирован с субъектом Sm)

Определение 5.Правила разграничения доступа, задаваемые политикой безопасности, есть формально описанные потоки, принадлежащие множеству PL .

1.Понятие политики и моделей безопасности информации в КС

Будем считать, что все множество потоков информации P (объединение всех потоков во все tk) разбито на два подмножества - множество потоков PL , характеризующих легальный доступ - множество потоков PN, характеризующих несанкционированный доступ

60 60

60

Аксиома 4. Все вопросы безопасности информации в КС описываются доступами субъектов к объектам

Аксиома 5. Субъекты в КС могут быть порождены только ак- тивной компонентой (субъектами же) из объектов

Аксиомы защищенности компьютерных систем

1.Понятие политики и моделей безопасности информации в КС

61 61

61

Политики безопасности компьютерных систем

- Множество PL задается явным образом внешним по отношению к системе фактором в виде указания дискретного набора троек "субъект-поток(операция)-объект"

- Множество PL задается неявным образом через предоставление субъектам неких полномочий (допуска, мандата) порождать определенные потоки над объектами с определенными характеристиками конфиденциальности (метками, грифами секретности)

- Множество PL задается через введение в системе дополнительных абстрактных сущностей – ролей, с которыми ассоциируются конкретные пользователи, и наделение ролевых субъектов доступа на основе дискреционного или мандатного принципа правами доступа к объектам системы

1.Понятие политики и моделей безопасности информации в КС

62 62

62

Структура КС в программно-техническом аспекте

2. Монитор (ядро) безопасности КС

Компонент доступа (система ввода-вывода в ОС)

Компонент представления (файловая система в ОС)

Компьютерная система

Защищенная компьютерная система

63 63

63

Полнота - монитор должен вызываться при каждом обращении субъектов за сервисом к ядру системы и не д.б. никаких способов его обхода

Изолированность - монитор д.б. защищен от отслеживания и перехвата своей работы

Верифицируемость - монитор д.б. проверяемым на выполнение своих функций, т.е. быть тестируемым (самотестируемым)

Непрерывность - монитор должен функционировать при любых штатных и нештатных (в т.ч. и в аварийных) ситуациях

Монитор безопасности реализует политику безопасности на основе той или иной модели безопасности

Требования к монитору безопасности

2. Монитор (ядро) безопасности КС

64 64

64

Особенности субъектно-объектной модели КС (определения 1, 2, 3 и 4) требуют структуризации монитора безопасности на две компоненты:

- монитор безопасности объектов (МБО) - монитор безопасности субъектов (МБС)

Определение 6.Монитором безопасности объектов (МБО) называется субъект, активизирующийся при возникновении потока между любыми объектами, порождаемым любым субъектом, и разрешающий только те потоки, которые принадлежат множеству PL

Определение 7.Монитором безопасности субъектов (МБС) называется субъект, активизирующийся при любом порождении субъектов, и разрешающий порождение субъектов только для фиксированного подмножества пар активизирующих субъектов и объектов-источников

2. Монитор (ядро) безопасности КС

65 65

65

Защищенная компьютерная система

Гарантии выполнения политики безопасности обеспечиваются определенными требованиями к МБО и МБС, реализующими т.н. изолированную программную среду (ИПС)

2. Монитор (ядро) безопасности КС

66 66

66

Исх. тезис - при изменении объектов, функционально ассоциированных с субъектом монитора безопасности могут измениться свойства самого МБО и МБС, что м. привести к нарушению ПБ

Определение 8.Объекты Oi и Oj тождественны в момент времени tk, если они совпадают как слова, записанные на одном языке

Определение 9.Субъекты Si и Sj тождественны в момент времени tk , если попарно тождественны все соответствующие ассоциированные с ними объекты

Определение 10.Субъекты Si и Sj называются невлияющими друг на друга (или корректными относительно друг друга), если в любой момент времени отсутствует поток (изменяющий состояние объекта) между любыми объектами Oi и Oj , ассоциированными соответственно с субъектами Si и Sj , причем Oi не ассоциирован с Sj, а Oj не ассоциирован с Si

3. Гарантирование выполнения политики безопасности. ИПС.

Следствие 9.1. Порожденные субъекты тождественны, если тождественны порождающие их субъекты и объекты-источники

(Изменение состояние объекта – не тождественность в соотв. моменты времени)

67 67

67

Определение 11.Субъекты Si и Sj называются абсолютно невлияю- щими друг на друга (или абсолютно корректными относительно друг друга), если дополнительно к условию определения 10 множества ассоциированных объектов указанных субъектов не имеют пересечений

Утверждение 1.ПБ гарантированно выполняется в КС, если: - МБО разрешает порождение потоков только из PL; - все существующие в КС субъекты абсолютно корректны относительно МБО и друг друга

МБО субъект

3. Гарантирование выполнения политики безопасности. ИПС.

?

?

?

Док-во:

На практике только корректность относительно МБО

Достаточное условие гарантированного выполнения ПБ

68 68

68

Утверждение 2.Если в абсолютно изолированной КС существует МБО и порождаемые субъекты абсолютно корректны относительно МБО, а также МБС абсолютно коррек- тен относительно МБО, то в КС реализуется доступ, описанный правилами разграничения доступа (ПБ)

3. Гарантирование выполнения политики безопасности. ИПС.

?

?

?

Док-во:

На практике легче, чем полная корректность субъектов относительно друг друга

Достаточное условие гарантированного выполнения ПБ

?

?

?

69 69

69

Определение 12.КС называется замкнутой по порождению субъектов, если в ней действует МБС, разрешающий порождение только фиксированного конечного подмножества субъектов для любых объектов- источников при фиксированной декомпозиции КС на субъекты и объекты

Определение 13.Множество субъектов КС называется изолированным (абсолютно изолированным), если в ней действует МБС и субъекты из порождаемого множества корректны (абсолютно корректны) относительно друг друга и МБС

3. Гарантирование выполнения политики безопасности. ИПС.

Следствие 13.1. Любое подмножество субъектов изолированной (абсолютно изолированной) КС, включающее МБО и МБС, также составляет изолированную (абсолютно изолированную) программную среду

Следствие 13.2. Дополнение изолированной (абсолютно изолированной) КС субъектом, корректным (абсолютно корректным) относительно любого из числа входящих в ИПС субъектов, оставляет КС изолированной (абсолютно изолированной)

Называют "Изолированной программной средой (ИПС)"

70 70

70

Базовая теорема ИПС

Определение 16.Операция порождения субъекта Create(Sj , Oi)? Sm называется порождением с контролем неизменнос- ти объекта, если для любого момента времени tk>t0 , в который активизирована операция Create, порождение субъекта Sm возможно только при тождественности объектов в соответствующие моменты времени –Oi[tk]= Oi[t0]

Следствие 16.1. При порождении с контролем неизменности объектов субъекты, порожденные в различные моменты времени, тождественны Sm[t1]= Sm[t2]. При t1= t2 порождается один и тот же субъект.

Утверждение 3.Если в момент времени t0 в изолированной КС действует только порождение субъектов с контролем неизменности объекта и существуют потоки между объектами через субъекты, не противоречащие условию корректности (абсолютной корректности) субъектов, то в любой момент времени КС также остается изолированной (абсолютно изолированной).

3. Гарантирование выполнения политики безопасности. ИПС.

Док-во: 1.Из условия абс. корр. м.б. только такие потоки, которые изменяют состояние объектов, не ассоциированных в соотв. моменты времени с каким-либо субъектом. Отсюда не м.б. изменены объекты-источники. 2.Т.к. объекты-источники остаются неизменными, то мощность множества порождаемых субъектов нерасширяемо, и тем самым множество субъектов КС остается изолированным

71 71

71

Проблемы реализации Изолированной программной среды

повышенные требования к вычислительным ресурсам – проблема производительности нестационарность функционирования КС (особенно в нач. момент времени) из-за изменения уровня представления объектов (сектора-файлы) – проблема загрузки (начального инициирования) ИПС сложность технической реализацией контроля неизменности объектов - проблема целостности объектов и проблема чтения реальных данных

3. Гарантирование выполнения политики безопасности. ИПС.

72 Лекция 2.1. Модели безопасности на основе дискреционной политики

Лекция 2.1. Модели безопасности на основе дискреционной политики

Тема 2. Модели безопасности компьютерных систем

? Гайдамакин Н.А., 2008г.

ГОС 075200 «Компьютерная безопасность» ОПД.Ф.10 "Теоретические основы компьютерной безопасности"

Презентация предназначена для отработки и закрепления лекционного материала студентами группы КБ МатМех УрГУ. Распространение и передача презентации третьим лицам запрещается

73 1.Общая характеристика политики дискреционного доступа 2.Пятимерное

1.Общая характеристика политики дискреционного доступа 2.Пятимерное

пространство Хартсона 3.Модели на основе матрицы доступа 4.Модели распространения прав доступа.

Учебные вопросы:

73

Литература:

1.Теория и практика обеспечения информационной безопасности / Под ред. П.Д. Зегжды. М.:Яхтсмен, 1996. - 302с 2. Грушо А.А.,Тимонина Е.Е.Теоретические основы защиты информации. М.:Яхтсмен, 1996. - 192с 3.Баранов А.П.,Борисенко Н.П.,Зегжда П.Д, Корт С.С.,Ростовцев А.Г. Математические основы информационной безопасности. - Орел, ВИПС, 1997.- 354с. 4.Прокопьев И.В., Шрамков И.Г., Щербаков А.Ю. Введение в теоретические основы компьютерной безопасности : Уч. пособие. М., 1998.- 184с.

74 74

74

Исходные понятия

Разграничение доступа к информации (данным) КС

Доступ к информации (данным)

Методы доступы

Права доступа

Политика (правила) разграничения доступа

1. Общая характеристика политики дискреционного доступа

-разделение информации АИС на объекты (части, элементы, компоненты и т. д.), и организация такой системы работы с информацией, при которой пользователи имеют доступ только и только к той части информации (к тем данным), которая им необходима для выполнения своих функциональных обязанностей или необходима исходя из иных соображений -создание такой системы организации данных, а также правил и механизмов обработки, хранения, циркуляции данных, которые обеспечивают функциональность КС и безопасность информации (ее конфиденциальность, целостность и доступность)

-действия субъектов на объектами КС, вызывающие одно- двунаправленные информационные потоки

-виды действий (операций) субъектов над объектами КС (чтение/просмотр, запись/модификация/добавление, удаление, создание, запуск и т.п.)

-методы доступа (действия, операции), которыми обладают (наделяются, способны выполнять) субъекты над объектами КС

-совокупность руководящих принципов и правил наделения субъектов КС правами доступа к объектам, а также правил и механизмов осуществления самих доступов и реализации информационных потоков

75 75

75

Виды политик (правил, механизмов) разграничения доступа

Политика дискреционного разграничения доступа

Политика мандатного разграничения доступа

Политика тематического разграничения доступа

Политика ролевого разграничения доступа

Политика временн?го разграничения доступа

Политика маршрутного доступа

1. Общая характеристика политики дискреционного доступа

-Разграничение доступа на основе непосредственного и явного предоставления субъектам прав доступа к объектам в виде троек «субъект-операция-объект»

-Предоставление прав доступа субъектов к объектам неявным образом посредством присвоения уровней (меток) безопасности объектам (гриф конфиденциальности, уровень целостности), субъектам (уровень допуска/полномочий) и организация доступа на основе соотношения «уровень безопасности субъекта-операция-уровень безопасности объекта»

-Предоставление прав доступа субъектам к объектам неявным образом посредством присвоения тематических категорий объектам (тематические индексы) и субъектам (тематические полномочия) и организация доступа на основе соотношения «тематическая категория субъекта-операция-тематическая категория объекта»

-агрегирование прав доступа к объектам в именованные совокупности (роли), имеющие определенный функционально-технологический смысл в предметной области КС, и наделение пользователей правом работы в КС в соответствующих ролях

-предоставление пользователям прав работы в КС по определенному временному регламенту (по времени и длительность доступа)

-предоставление пользователям прав работы в КС при доступе по определенному маршруту (с определенных рабочих станций)

76 76

76

Общая характеристика политики дискреционного доступа

Модели и механизмы реализации дискреционного разграничения доступа

1. Общая характеристика политики дискреционного доступа

множество легальных (неопасных) доступов PL задается явным образом внешним по отношению к системе фактором в виде указания дискретного набора троек "субъект-поток(операция)-объект"; -права доступа предоставляются («прописываются» в специальных информационных объектах-стуктурах, ассоциированных с монитором безопасности), отдельно каждому пользователю к тем объектам, которые ему необходимы для работы в КС; -при запросе субъекта на доступ к объекту монитор безопасности, обращаясь к ассоциированным с ним информационным объектам, в которых «прописана» политика разграничения доступа, определяет «легальность» запрашиваемого доступа и разрешает/отвергает доступ

Различаются: -в зависимости от принципов и механизмов программно-информационной структуры объекта(объектов), ассоциированных с монитором безопасности, в которых хранятся «прописанные» права доступа (тройки доступа) -в зависимости от принципа управления правами доступа, т.е. в зависимости от того – кто и как заполняет/изменяет ячейки матрицы доступа (принудительный и добровольный принцип управления доступом) Выделяют: -теоретико-множественные (реляционные) модели разграничения доступа (пятимерное пространство Хартсона, модели на основе матрицы доступа) -модели распространения прав доступа (модель Харисона-Рузо-Ульмана, модель типизованной матрицы доступа, теоретико-графовая модель TAKE-GRANT)

77 77

77

Система защиты -пятимерное пространство на основе следующих множеств: U - множество пользователей; R - множество ресурсов; E - множество операций над ресурсами; S - множество состояний системы; A - множество установленных полномочий.

Процесс организации доступа по запросу осуществляется по следующему алгоритму:

Декартово произведение A?U?E?R?S - область безопасного доступа

Запрос пользователя на доступ представляет собой 4-х мерный кортеж: q = (u,e,R',s), где R' - требуемый набор ресурсов

1.Вызвать все вспомогательные программы для предварительного принятия решения

2.Определить те группы пользователей, в которые входит u, и выбрать из A те спецификации полномочий P=F(u), которым соответствуют выделенные группы пользователей. Набор полномочий P=F(u) определяет т.н.привилегию пользователя

2. Пятимерное пространство Хартсона

Элементы множества A - aijkl специфицируют:

- Ресурсы - вхождение пользователей в группы; разрешенные операции для групп по отношению к ресурсам;

78 78

78

3.Определить из множества A набор полномочий P=F(e), которые устанавливают e, как основную операцию. Набор полномочий P=F(e) определяет привилегию операции.

2. Пятимерное пространство Хартсона

79 79

79

На основе P=F(u), P=F(e) и P=F(R') образуется т.н. домен полномочий запроса: D(q)= F(u)?F(e)?P=F(R')

4.Определить из множества A набор полномочий P=F(R'), разрешающих доступ к набору ресурсов R'. Набор полномочий P=F(R') определяет привилегию ресурсов.

2. Пятимерное пространство Хартсона

80 80

80

5.Убедиться, что запрашиваемый набор ресурсов R' полностью содержится в домене запроса D(q), т.е. любой r из набора R' хотя бы один раз присутствует среди элементов D(q).

6.Осуществить разбиение D(q) на эквивалентные классы, так, чтобы в один класс попадали полномочия (элементы D(q)), когда они специфицируют один и тот же ресурс r из набора R'. В каждом классе произвести операцию логического ИЛИ элементов D(q) с учетом типа операции e. В результате формируется новый набор полномочий на каж-дую единицу ресурса, указанного в D(q) - F(u,q).Набор F(u,q) назы-вается привилегией пользователя u по отношению к запросу q.

2. Пятимерное пространство Хартсона

Авторизация

81 81

81

7.Вычислить условие фактического доступа (EAC), соответствующее запросу q , через операции логического ИЛИ по элементам полномочий F(u,q) и запрашиваемым ресурсам r из набора R', и получить тем самым набор R'' - набор фактически доступных по запросу ресурсов

8.Оценить EAC и принять решение о доступе: - разрешить доступ, если R'' и R' полностью перекрываются; - отказать в доступе в противном случае.

9.Произвести запись необходимых событий

10.Вызвать все программы, необходимые для организации доступа после "принятия решения".

11.Выполнить все вспомогательные программы, вытекающие для каждого случая по п.8.

12.При положительном решении о доступе завершить физическую обработку.

Но!!! Безопасность системы в строгом смысле не доказана

2. Пятимерное пространство Хартсона

82 82

82

Система защиты -совокупность следующих множеств: - множество исходных объектов O (o1,o2,…,oM) - множество исходных субъектов S (s1,s2,…,sN) , при этом S ? O - множество операций (действий) над объектами Op (Op1 ,Op2 ,…,OpL) - множество прав, которые м.б. даны субъектам по отношению к объектам R (r1,r2,…,rK) – т.н. "общие права" - NxM матрица доступа A, в которой каждому субъекту соответствует строка, а каждому объекту - столбец. В ячейках матрицы располагаются права r соотв.субъекта над соотв. объектом в виде набора разрешенных операций Opi

A[si,oj]= aij - право r из R (т.Е. Не общее, а конкр. Право)

Каждый элемент прав rk специфицирует совокупность операций над объектом rk ? (Op1k,Op2k,…,OpJk)

3. Модели на основе матрицы доступа

83 83

83

Две разновидности моделей в зависимости от того, каким образом заполняются ячейки матрицы доступа A. Выделяют:

Системы с принудительным управлением доступа; системы с добровольным управлением доступом.

- Вводится т.Н.Доверенный субъект (администратор доступа), который и определяет доступ субъектов к объектам (централизованный принцип управления)

- Вводится т.Н. Владение (владельцы) объектами и доступ субъектов к объекту определяется по усмотрению владельца (децентрализованный принцип управления)

Принудительное управление доступом

- В таких системах заполнять и изменять ячейки матрицы доступа может только администратор

Добровольное управление доступом

- В таких системах субъекты посредством запросов могут изменять состояние матрицы доступа

3. Модели на основе матрицы доступа

Жесткость, но и более четкий контроль

Гибкость, но и сложность контроля

84 84

84

Способы организации информационной структуры матрицы доступа

3. Модели на основе матрицы доступа

Централизованная единая информационная структура

Децентрализованная распределенная информационная структура

Субд

Биты защиты (UNIX)

Владелец

Группа

Остальные польз-ли

Системная таблица с назначениями доступа

85 85

85

Два способа размещения ACL

Структура списков доступа на примере NTFS

C каждым объектом NTFS связан т.Н. Дескриптор защиты, состоящий из:

3. Модели на основе матрицы доступа

Объект 1

Объект 2

DACL – последовательность произв. кол-ва элементов контроля доступа – АСЕ, вида:

SACL – данные для генерации сообщений аудита

Списки доступа в файловой системе ОС Windows (Access Control List – ACL)

Объекты д.б. зарегистрированы в системе

Д.б. обеспечен контроль целостности ACL

ID влад.

ID перв. Гр. Влад.

DACL

SACL

Список дискр. контроля доступа

Системный список контроля доступа

Allowed / Denied

ID субъекта (польз., Группа)

Права доступа (отображ-е)

Флаги, атрибуты

86 86

86

В модели Харрисона-Руззо-Ульмана помимо элементарных опе-раций доступа Read, Write и т.д., вводятся также т.н. прими-тивные операции Opk по изменению субъектами матрицы доступа: Enter r into (s,o) - ввести право r в ячейку (s,o) Delete r from (s,o) - удалить право r из ячейки (s,o) Create subject s - создать субъект s (т.е. новую строку матрицы A) Create object o - создать объект o (т.е. новый столбец матрицы A) Destroy subject s - уничтожить субъект s Destroy object o - уничтожить объект o

Состояние системы Q изменяется при выполнении команд C(?1, ?2, …), изменяющих состояние матрицы доступа A. Команды инициируются пользователями-субъектами

Command ?(x1,…xk) if r1 in A[s1,o1] and r2 in A[s2,o2] … then; Op2 ; …; end

Xi – идентификаторы задействованных субъектов или объектов

4.Модели распространения прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU)

Наиболее типичный представитель систем с добровольным управлением доступом - модель Харрисона-Руззо-Ульмана

Название

Структура команды

[Условия] (необяз.)

Операции

Разработана для исследования дискреционной политики

Команды с одной операцией – монооперационные, с одним условием - моноусловные

87 87

87

Command "создать файл"(s, f): create object f ; enter "own" into (s, f ) ; enter "read" into (s, f ) ; enter "write" into (s, f ) ; end

Command «ввести право чтения"(s,s',f): if own ? (s, f ) ; then enter r "read" into (s', f ) ; end

Основной критерий безопасности -

Состояние системы с начальной конфигурацией Q0 безопасно по праву r, если не существует (при определенном наборе команд и условий их выполнения) последовательности запросов к системе, которая приводит к записи права r в ранее его не содержащую ячейку матрицы A[s,o]

Формулировка проблемы безопасности для модели Харрисона-Руззо-Ульмана: Существует ли какое-либо достижимое состояние, в котором конкретный субъект обладает конкретным правом доступа к конкретному объекту? (т.е. всегда ли возможно построить такую последовательность запросов при некоторой исходной конфигурации когда изначально субъект этим правом не обладает?)

4.Модели распространения прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU)

Примеры команд -

88 88

88

Теорема 1. Проблема безопасности разрешима для моно-операционных систем, т.е. для систем, в которых запросы содержат лишь одну примитивную операцию

Теорема 2. Проблема безопасности неразрешима в общем случае

Харрисон, Руззо и Ульман показали :

Выводы по модели Харрисона-Руззо-Ульмана: -данная модель в ее полном виде позволяет реализовать множество политик безопасности, но при этом проблема безопасности становится неразрешимой -разрешимость проблемы безопасности только для монооперационных систем приводит к слабости такой модели для реализации большинства политик безопасности (т.к. нет операции автоматического наделения своими правами дочерних объектов, ввиду чего по правам доступа они изначально не различимы)

Док-во на основе моделирования системы машиной Тьюринга

4.Модели распространения прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU)

89 89

89

Проблема «троянских» программ

4.Модели распространения прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU)

Command "создать файл“ (s2,f): if write ? [s2, o2] ; then create object f ; enter "read" into [s2, f ] ; enter "write" into [s2, f ] ; enter "execute" into [s2, f ]; if read ? [s1, o2] ; then enter "read" into [s1, f ] ; if write ? [s1, o2] ; then enter "write" into [s1, f ] ; if execute ? [s1, o2] ; then enter "execute" into [s1, f ] ; end

Command “запустить файл"(s1, f ): if execute ? [s1, f ] ; then create subject f ' ; enter "read“ into [f ',o1]; enter "read" into [f ',o3]; if write ? [s1,o2] ; then enter “write“ into [f',o2]; end

Command “скопировать файл o3 программой f ' в o2“ (f ',o3, o2): if read ? [f ', o3] and write ? [f ', o2] then create object o'; write (f ', o3 , o'); if read ? [s2, o2] ; then enter "read" into [s2,o']; end

90 90

90

Расширения модели HRU

Типизованная матрица доступа (Модель TAM) R. Sandhu,1992г. Вводится фиксированное количество типов ?k (например, "user"- пользователь, 'so"-офицер безопасности и "file"), которым могут соответствовать сущности КС (субъекты и объекты). Накладываются ограничения на условия и соответствие типов в монотонных операциях (порождающие сущности) Смягчаются условия на разрешимость проблемы безопасности

Command ?(x1:?1, x2:?2,…, xk: ?k)

Анализ проблем безопасности в модели ТАМ основывается на понятии родительских и дочерних типов

Определение 1. Тип ?k является дочерним типом в команде созда- ния ?(x1:?1, x2:?2,…, xk:?k), если и только если имеет место один из следующих элементарных операторов: "Create subject xk of type ?k" или "Create object xk of type ?k". В противном случае тип ?k является родительским типом.

Вводится Граф отношений наследственности

4.Модели распространения прав доступа. 4.2.Модель типизованной матрицы доступа (модель TAM)

91 91

91

Функционирование системы осуществляется через последовательность следующих команд:

v – дочерний тип в команде ?, в теле которой имеются еще типы u, w. Т.о. в Графе отношений наследственности возникают дуги (u,v), (w,v) и в т.ч. (v,v)

w – дочерний тип в команде ?, в теле которой имеются еще типы u, v. Т.о. в Графе отношений наследственности возникают дуги (u,w), (v,w) и в т.ч. (w,w)

u – дочерний тип в команде ?, в теле которой имеются еще тип v. Т.о. возникают дуги (v,u) и в т.ч. (u,u)

4.Модели распространения прав доступа. 4.2.Модель типизованной матрицы доступа (модель TAM)

0-й шаг – в системе имеется субъект типа u - (s1:u)

1-й шаг. ?(S1:u, s2:w, o1:v): create object o1 of type v ; inter r into [s1, o1] ; create subject s2 of type w ; inter r' into [s2, o1] ; end

2-й шаг. ?(S3:u, o1:v): create subject s3 of type u ; inter r'' into [s3, o1] ; end

92 92

92

Теорема 3. Проблема безопасности разрешима для ацикличных реализаций МTAM

Также, как и в модели HRU, используется понятие монотонной (МTAM) системы, которая не содержит примитивных операторов Delete и Destroy.

Определение 2. Реализация МTAM является ацикличной тогда и только тогда, когда ее граф отношений наследственности не содержит циклов

4.Модели распространения прав доступа. 4.2.Модель типизованной матрицы доступа (модель TAM)

93 93

93

Джонс, Липтон, Шнайдер, 1976г.

Теоретико-графовая модель анализа распространения прав доступа в дискреционных системах на основе матрицы доступа

1.Также как и в модели HRU система защиты представляет совокупность следующих множеств: - множество исходных объектов O (o1,o2,…,oM) - множество исходных субъектов S (s1,s2,…,sN), при этом S ? O - множество прав, которые м.б. даны субъектам по отношению к объектам (r1,r2,…,rK) ? {t, g}, в том числе с двумя специфическими правами – правом take (t – право брать права доступа у какого-либо объекта по отношению к другому объекту) и правом grant (g – право предоставлять права доступа к определенному объекту другому субъекту) множеством E установленных прав доступа (x, y, ?) субъекта x к объекту y с правом ? из конеч- ного набора прав. При этом сос- тояние системы представляется Графом доступов Г

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

94 94

94

Команда "Брать" – take(?, x, y, z)

Команда «Давать" – grant(?, x, y, z)

2.Состояние системы (Графа доступов) изменяется под воздействием элементарных команд 4-х видов

субъект x берет права доступа ? ? ? на объект z у объекта y (обозначения: ?с – переход графа Г в новое состояние Г' по команде c ; x? S; y, z? O)

Субъект x дает объекту y право ? ? ? на доступ к объекту z

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

95 95

95

Команда "Создать" – create(?, x, y)

Субъект x создает объект y с правами доступа на него ? ? R (y – новый объект, O'=O ? {y}), в т. Ч. С правами t, или g, или {t, g}.

Команда «Изъять" – remove(?, x, y)

Субъект x удаляет права доступа ? ? ? на объект y

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

96 96

96

3. Безопасность системы рассматривается с точки зрения возможности получения каким-либо субъектом прав доступа к определенному объекту (в начальном состоянии Г0 (O0, S0, E0) такие права отсутствуют) при определенной кооперации субъектов путем последовательного изменения состояния системы на основе выполнения элементарных команд. Рассматриваются две ситуации – условия санкционированного, т.е. законного получения прав доступа, и условия «похищения» прав доступа

3.1. Санкционированное получение прав доступа

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

Определение 3. Для исходного состояния системы Г0 (O0, S0, E0) и прав доступа ? ? R предикат "возможен доступ(?, x, y, Г0 )" является истинным тогда и только тогда, когда существуют графы доступов системы Г1 (O1, S1, E1), Г2 (O2, S2, E2), …, ГN (ON, SN, EN), такие, что: Г0 (O0, S0, E0) ?с1 Г1 (O1, S1, E1) ?с2…?сN ГN (ON, SN, EN) и (x, y,?)? EN где c1, c2, …, cN – команды переходов

Определение 4. Вершины графа доступов являются tg-связными (соединены tg-путем), если в графе между ними существует такой путь, что каждая дуга этого пути выражает право t или g (без учета направления дуг)

97 97

97

Доказательство

Получение прав ? доступа субъектом x у субъекта s на объект y при различных вариантах непосредственной tg-связности

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

Теорема 4. В графе доступов Г0 (O0, S0, E0) , содержащем только вершины-субъекты, предикат "возможен доступ(?, x, y, Г0 )" истинен тогда и только тогда, когда выполняются следующие условия: - существуют субъекты s1,…,sm такие, что (si, y, ?i)?E0 для i=1, …, m и ? =?1 ?…??m. - субъект х соединен в графе Г0 tg-путем с каждым субъектом si для i=1, …, m

98 98

98

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

Определение 5. Островом в произвольном графе доступов Г (O, S, E ) называется его максимальный tg-связный подграф, состоящий только из вершин субъектов.

99 99

99

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

Теорема 4. В произвольном графе доступов Г0 (O0, S0, E0) предикат "возможен доступ(?, x, y, Г0 )" истинен тогда и только тогда, когда выполняются условия: - существуют объекты s1,…,sm такие, что (si, y, ?i)?E0 для i=1, …, m и ? =?1 ?…??m . - существуют вершины-субъекты x1',…,xm' и s1',…,sm' такие, что: -- х = хi' или хi' соединен с x начальным пролетом моста для i=1, …, m; -- si = si' или si' соединен с si конечным пролетом моста для i=1, …, m.

100 100

100

3.1. Похищение прав доступа

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

Определение 9. Для исходного состояния системы Г0 (O0, S0, E0) и прав доступа ? ? R предикат "возможно похищение(?, x, y, Г0 )" является истинным тогда и только тогда, когда существуют графы доступов системы Г1 (O1, S1, E1), Г2 (O2, S2, E2), …, ГN (ON, SN, EN) такие, что: Г0 (O0, S0, E0) ?с1 Г1 (O1, S1, E1) ?с2…?сN ГN (ON, SN, EN) и (x, y,?)? EN где c1, c2, …, cN – команды переходов; при этом, если ? (s, y, ?) ? E0, то ? z ? Sj , j=0,1,…, N выполняется: c1 ? grant(?, s, z, y).

101 101

101

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

Теорема 4. В произвольном графе доступов Г0 (O0, S0, E0) предикат "возможно похищение(?, x, y, Г0 )" истинен тогда и только тогда, когда выполняются условия: - (x, y,?) ? E0. - существуют субъекты s1,…,sm такие, что (si, y, ?i)? E0 для i=1, …, m и ? =?1 ?…??m - являются истинными предикаты "возможен доступ(t, x, si, Г0)" для i=1, …, m.

102 102

102

Определение 10. Неявным информационным потоком между объектами системы называется процесс переноса информации между ними без их непосредственного взаимодействия (операции Read, Write)

4.Модели распространения прав доступа. 4.5.Расширенная (extended) модель TAKE-GRANT

103 103

103

2.Состояние Графа доступов изменяется под воздействием элементарных команд 6-х видов (т.н. команды де-факто)

Имеется неявная возможность передачи (записи) [конфиденциальной] информации из объекта y субъекту x, когда тот осуществляет доступ r к объекту y

Имеется неявная возможность получения (чтения) объектом y [конфиденциальной] информации от субъекта x], когда тот осуществляет доступ w к объекту y

4.Модели распространения прав доступа. 4.5.Расширенная (extended) модель TAKE-GRANT

104 104

104

4.Модели распространения прав доступа. 4.5.Расширенная (extended) модель TAKE-GRANT

Субъект x получает возмож-ность чтения информации от (из) другого субъекта z, осуществляя доступ r к объекту y, к которому субъект z осуществляет доступ w, а субъект z, в свою очередь, получает возможность записи своей информации в субъект x

Субъект x получает возмож-ность чтения информации из объекта z, осуществляя доступ r к субъекту y, который, в свою очередь, осуществляет доступ r к объекту z, при этом также у субъекта x возникает возможность записи к себе информации из объекта z

105 105

105

4.Модели распространения прав доступа. 4.5.Расширенная (extended) модель TAKE-GRANT

Субъект x получает неявн. Возможность передачи (записи) конф. Информации в объект z, осуществляя доступ w к субъекту y, который, в свою очередь, осуществляет доступ w к объекту z, при этом также у субъекта z возникает неявн. Возможность чтения конф. Информации из субъекта x

При осуществлении субъек-том y доступа r к объекту z возникает неявная возмож-ность внесения из него конф. Информации в другой объект x, к которому субъект y осуществляет дос-туп w, и, кроме того, возни-кает возможность получе-ния информации (чтения) объектом x из объекта z

106 106

106

3. Анализ возможности возникновения неявного информационного канала (потока) между двумя произвольными объектами (субъек-тами) x и y системы осуществляется на основе поиска и построе-ния в графе доступов пути между x и y, образованного мнимы-ми дугами, порождаемыми применением команд де-факто к различным фрагментам исходного Графа доступов

4.Модели распространения прав доступа. 4.5.Расширенная (extended) модель TAKE-GRANT

- При допущении возможности или при наличии достоверных фактов о состоявшемся неявном информационном потоке от одного объекта(субъекта) к другому объекту(субъекту), анализировать и выявлять круг возможных субъектов-"заговорщиков" несанкционированного информационного потока

- для какой-либо пары объектов (субъектов) осуществлять анализ не только возможности неявного информационного потока, но и количественных характеристик по тому или иному маршруту: возможно взвешивание мнимых дуг на Графе доступов посредством оценки вероятности их возникновения возможны количественные сравнения различных вариантов возникновения неявного потока по длине пути на Графе доступов

- Оптимизировать систему назначений доступа по критериям минимизации возможных неявных информационных потоков

107 107

107

Достоинства дискреционных моделей

Недостатки дискреционных моделей

Хорошая гранулированность защиты (позволяют управлять доступом с точностью до отдельной операции над отдельным объектом) Простота реализации

Слабые защитные характеристики из-за невозможности для реальных систем выполнять все ограничения безопасности Проблема "троянских коней" Сложности в управлении доступом из-за большого количества назначений прав доступа

108 Лекция 2.2. Модели безопасности на основе мандатной политики

Лекция 2.2. Модели безопасности на основе мандатной политики

Тема 2. Модели безопасности компьютерных систем

? Гайдамакин Н.А., 2008г.

ГОС 075200 «Компьютерная безопасность» ОПД.Ф.10 "Теоретические основы компьютерной безопасности"

Презентация предназначена для отработки и закрепления лекционного материала студентами группы КБ МатМех УрГУ. Распространение и передача презентации третьим лицам запрещается

109 1.Общая характеристика моделей полномочного (мандатного) доступа 2

1.Общая характеристика моделей полномочного (мандатного) доступа 2

Модель Белла-ЛаПадулы 3.Расширения модели Белла-ЛаПадулы.

Учебные вопросы:

109

Литература:

1. Зегжда Д.П.,Ивашко А.М. Основы безопасности информационных систем. - М.:Горячая линия - Телеком, 2000. - 452с 2. Грушо А.А.,Тимонина Е.Е.Теоретические основы защиты информации. М.:Яхтсмен, 1996. - 192с 3.Прокопьев И.В., Шрамков И.Г., Щербаков А.Ю. Введение в теоретические основы компьютерной безопасности : Уч. пособие. М., 1998.- 184с. 11.Девянин П.Н. Модели безопасности компьютерных систем: Учеб. пособие. – М.: Изд.центр «Академия», 2005. – 144 с.

110 110

110

Основаны: на субъектно-объектной модели КС на правилах организации секретного делопроизводства принятых в гос. учреждениях многих стран

Гл. задача: не допустить утечки информации из документов с высоким грифом секретности к сотрудникам с низким уровнем допуска

1. Общая характеристика моделей мандатного доступа

111 111

111

Основные положения моделей мандатного доступа

Вводится система "уровней безопасности" – решетка с оператором доминирования

Устанавливается функция (процедура) присваива-ния субъектам и объектам уровней безопасности

Управление и контроль доступом субъектов к объектам производится на основе двух правил:

1.Запрет чтения вверх (no read up - NRU) - субъект не может читать объект с уровнем безопасности, большим своего уровня безопасности

1. Общая характеристика моделей мандатного доступа

112 112

112

2.Запрет записи вниз (no write down - NWD) - субъект не может писать информацию в объект, уровень безопасности которого ниже уровня безопасности самого субъекта (т.н. *-свойство)

Для управления (разграничения) доступом к объектам одного уровня конфиденциальности используют дискреционный принцип, т.е. дополнительно вводят матрицу доступа

Т.О. В моделях мандатного доступа устанавливается жесткое управление доступом с целью контроля не столько операций, а потоков между сущностям с разным уровнем безопасности

1. Общая характеристика моделей мандатного доступа

113 113

113

Решетка уровней безопасности ?L

- алгебра (L, ?, ?, ?), где L – базовое множество уровней безопасности ? – оператор доминирования, определяющий частичное нестрогое отношение порядка на множестве L. Отношение, задаваемое ? , рефлексивно, антисимметрично и транзитивно: ? l ? L: l ? l ; ? l1, l2 ? L: (l1 ? l2 ? l2 ? l1) ? l1 ? l2 ; ? l1, l2, l3 ? L: (l1 ? l2 ? l2 ? l3) ? l1 ? l3 ; ? – оператор, определяющий для любой пары l1, l2 ? L наименьшую верхнюю границу - l1? l2 ? l ? l1, l2? l ?? l'?L: (l' ? l) ? (l' ? l1 ? l' ? l2) ? – оператор, определяющий для любой пары l1, l2 ? L наибольшую верхнюю границу - l1 ? l2 ? l ? l ? l1, l2 ?? l'? L:(l' ? l1 ? l' ? l2) ? (l' ? l)

1. Общая характеристика моделей мандатного доступа

114 114

114

Функция уровня безопасности FL: X? L

- однозначное отображение множества сущностей КС X = S ? O во множество уровней безопасности L решетки ?L . Обратное отображение FL-1: L ? X задает разделение всех сущностей КС на классы безопасности Xi, такие что: X1 ? X2 ? …? XN = X , где N - мощность базового множества уровней безопасности L; Xi ? Xj ? ? , где i ? j; ? x'? Xi ? fL(x')= li , где li ? L

1. Общая характеристика моделей мандатного доступа

115 115

115

Система защиты - совокупность - множества субъектов S - множества объектов O - множества прав доступа R (в исх. виде всего два элемента - read и write) - матрицы доступа A[s,o] - решетки уровней безопасности L субъектов и объектов (допуска и грифы секретности) - функции уровней безопасности fL, отображающей элементы множеств S и O в L - множества состояний системы V, которое опре- деляется множеством упорядоченных пар (fL,A) - начального состояния v0 - набора запросов Q субъектов к объектам, выполне- ние которых переводит систему в новое состояние - функции переходов FT : (V x Q) ? V, которая переводит систему из одного состояния в другое при выполнении запросов

2. Модель Белла-ЛаПадулы

D.Elliott Bell, Leonard J.LaPadula, 1973-75

116 116

116

Белл и ЛаПадула ввели следующее определение безопасного состояния системы

Система ?(v0 , Q, FT) безопасна тогда и только тогда, когда ее начальное состояние v0 безопасно и все состояния, достижимые из v0 путем применения конечной последовательности запросов из Q безопасны

1. Состояние называется безопасным по чтению (или просто безопасным) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ чтения к объекту, уровень безопасности этого субъекта доминирует над уровнем безопасности этого объекта: ?s?S, ?o?O, read ? А[s,o]?fL(s)?fL(o)

2. Состояние называется безопасным по записи (или *-безо- пасным) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ записи к объекту, уровень безопасности объекта доминирует над уровнем безопасности этого субъекта: ?s?S, ?o?O, write ? А[s,o]?fL(o)?fL(s)

3. Состояние безопасно тогда и только тогда, когда оно безопасно и по чтению, и по записи

На основе определений 1,2 и 3 критерий безопасности:

2. Модель Белла-ЛаПадулы

117 117

117

Теорема ОТБ. Система ?(v0,Q, FT) безопасна тогда и только тогда, когда: 1.Состояние v0 безопасно 2.Функция переходов FT такова, что любое состояние v, достижимое из v0 при выполнении конечной последовательности запросов из множества Q, также безопасно 3.Если при FT(v,q)=v*, где v=(fL , A) и v*=(fL*, A*), переходы системы из состояния в состояние подчиняются следующим ограничениям для ?s?S и для ?o?O: - если read ?A*[s,o] и read ?A[s,o], то fL*(s)?fL*(o) - если read ?A[s,o] и fL*(s)<fL*(o), то read ?A*[s,o] - если write ?A*[s,o] и write ?A[s,o], то fL*(s)?fL*(o) - если write ?A[s,o] и fL*(o)<fL*(s), то write ?A*[s,o]

Белла и ЛаПадула доказали т.н. Основную теорему безопасности:

2. Модель Белла-ЛаПадулы

Правила доступа и ограничения NRU и NWD должны работать независимо от предыстории конкретных объектов и субъектов

При переходе в новое состояние не возникает никаких новых и не сохраняется никаких старых отношений доступа, которые небезопасны по отношению к функции уровня безопасности нового состояния

118 118

118

Достоинства модели Белла-ЛаПадулы:

Недостатки модели Белла-ЛаПадулы:

ясность и простота реализации отсутствие проблемы "Троянских коней" (контролируется направленность потоков, а не взаимоотношения конкретного субъекта с конкретным объектом, поэтому недекларированный поток троянской программы «сверху-вниз» будет считаться опасным и отвергнут МБО) каналы утечки не заложены в саму модель, а могут возникнуть только в практической реализации

2. Модель Белла-ЛаПадулы

возможность ведения операций доступа (Delete), не влияющих с т.зр. модели на безопасность, которые тем не менее могут привести к потери данных проблема Z-системы (Мак-Лин) - такая система, в которой при запросе все сущности м.б. деклассифицированы до самого низкого уровня и тем самым м.б. осуществлен любой доступ (в модели не заложены принципы и механизмы классификации объектов) отсутствие в модели доверенных субъектов-администраторов Типовые действия администраторов (создание пользователей, установление их полномочий и т.д.) не могут ни приводить к нарушениям безопасности с т.зр. модели Белла-ЛаПадулы

119 119

119

Безопасная функция перехода (Мак-Лин)

Функция перехода FT(v,q)=v* безопасна по чтению когда: 1. Если read ?A*[s,o] и read ?A[s,o], то fLs(s)?fLo(o) и fL=fL* 2. Если fLs?fLs*, то A=A*, fLo=fLo* , для ?s и o, у которых fLs*(s)<fLo*(o), - read ?A[s,o] 3. Если fLo?fLo*, то A=A*, fLs=fLs* , для ?s и o, у которых fLs*(s)<fLo*(o), - read ?A[s,o]

Функция перехода FT (v,q)=v* безопасна по записи когда: 1.Если write ?A*[s,o] и write ?A[s,o],то fLo(o)?fLs(s) и fL=FL* 2. Если fLs?fLs*, то A=A*, fLo=fLo* , для ?s и o, у которых fLs*(s)>fLo*(o), - write ?A[s,o] 3. Если fLo?fLo*, то A=A*, fLs=fLs* , для ?s и o, у которых fLs*(s)>fLo*(o), - write ?A[s,o]

3. Расширения модели Белла-ЛаПадулы

Нельзя изменять одновременно более одного компонента состояния системы. Можно: -либо ввести новое отношение доступа -либо изменить уровень субъекта -либо изменить уровень объекта

Гарантии безопасности в процессе осуществления переходов между состояниями

120 120

120

Теорема безопасности Мак-Лина. Система безопасна в любом состоянии и в процессе переходов между ними, если ее начальное состояние безопасно, а функция перехода удовлетворяет критерию безопасности Мак-Лина

Критерий безопасности Мак-Лина для функции перехода

Функция перехода FT(v,q)=v* является безопасной тогда и только тогда, когда она изменяет только один из компонентов состояния и изменения не приводят к нарушению безопасности системы

Но! Нет контроля самого процесса изменения уровней безопасности сущностей в процессе осуществления переходов

3. Расширения модели Белла-ЛаПадулы

121 121

121

Уполномоченные (доверенные) субъекты (Мак-Лин)

Соответственно функция переходов системы ?(v0,Q, FTа) – FTа приобретает дополнительный параметр авторизации

Функция перехода FTа(v,s,q) в модели с называется авторизованной тогда и только тогда, когда для каждого перехода FTа(v,s,q)=v* , при котором: для ?x?S?O: если fL(x) ? fL(x), то s?С(S)

Система ?(v0,Q, FTa) c доверенными субъектами безопасна если : 1.Начальное состояние v0 безопасно и все достижимые состояния безопасны по критерию Белла-ЛаПадулы 2.Функция переходов FTа является авторизованной

В базовую модель дополнительно вводится подмножество доверенных субъектов, которым (и только им) разрешается инициировать переходы с изменениями уровней безопасности сущностей системы – С(S)

3. Расширения модели Белла-ЛаПадулы

122 122

122

Другие расширения модели Белла-ЛаПадулы

Модель Low-WaterMark

Модель совместного доступа

Вводится дополнительная операция reset(s,o), которая повышает до максимального уровень безопасности объекта при условии F(s)>F(o). В результате субъекту м.б. доступен по write любой объект

Модифицируется write(s,o) Если при операции write уровень объекта выше уровня субъекта то: - происходит понижение уровня безопасности объекта до уровня безопасности субъекта; - перед внесением новой старая информация в объекте стирается (чтобы потом нельзя было прочесть)

Доступ к определенной информации или модификация ее уровня безопасности может осуществляться только в результа-те совместных действий нескольких пользователей (т.е. только в результате группового доступа- z.b. гриф секретности документа м.б. изменен только совместными действиями владельца-исполнителя и администратора безопасности )

В матрице доступа вводятся групповые объекты и др.

3. Расширения модели Белла-ЛаПадулы

123 123

123

Другие недостатки модели Белла-ЛаПадулы

Тем не менее модель Белла-ЛаПадулы оказала сильное влияние на развитие моделей безопасности и стандартов защищенности КС

возможность скрытых каналов утечки - механизм, посредством которого субъект с высоким уровнем безопасности м. предоставить определенные аспекты конфиденциальной информации субъекту, уровень безопасности которого ниже уровня безопасности конф. информации проблема удаленного доступа. В распределенных системах осуществление доступа всегда сопровождается потоком информации в прямом и обратном направлении, что результате может приводить к нарушениям привил NRU и NWD проблема избыточности прав доступа. Без учета матрицы доступа (т.е. без использования дискреционного доступа) мандатный принцип доступа организует доступ более жестко, но и более грубо, без учета потребностей конкретных пользователей-субъектов

3. Расширения модели Белла-ЛаПадулы

124 Лекция 2.3. Модели безопасности на основе тематической политики

Лекция 2.3. Модели безопасности на основе тематической политики

Тема 2. Модели безопасности компьютерных систем

? Гайдамакин Н.А., 2008г.

ГОС 075200 «Компьютерная безопасность» ОПД.Ф.10 "Теоретические основы компьютерной безопасности"

Презентация предназначена для отработки и закрепления лекционного материала студентами группы КБ МатМех УрГУ. Распространение и передача презентации третьим лицам запрещается

125 1.Общая характеристика тематического разграничения доступа 2

1.Общая характеристика тематического разграничения доступа 2

Тематическая решетка мультирубрик иерархического рубрикатора 3.Модели тематико-иерархического разграничения доступа.

Учебные вопросы:

125

Литература:

1. Гайдамакин Н.А. Разграничение доступа к информации в компьютерных системах. - Екатеринбург: Изд-во Урал. Ун-та, 2003. – 328 с.

126 126

126

Политика тематического разграничения доступа

1.Множество субъектов и объектов доступа X = S ? O тематически классифицируются

1.Общая характеристика тематического разграничения доступа

127 127

127

2. Три способа тематичес-кой классификации - дескрипторная - иерархическая -- монорубрицированная -- мультирубрицированная - фасетная

Дескрипторная тематичес-кая классифи-кация

1.Общая характеристика тематического разграничения доступа

128 128

128

Иерархическая тематическая классификация

1.Общая характеристика тематического разграничения доступа

129 129

129

Политика тематического разграничения доступа

3.Недопустимы доступы (вызывающие опасные потоки) - от сущностей x1 с более широкой тематикой к сущностям x2 с более узкой тематикой (x1 ? x2) F[x1] ? F[x2] - между сущностями x1 и x2 с несравнимой тематикой (x1? x2) F [x2] ? ? F [x2]

1.Общая характеристика тематического разграничения доступа

130 130

130

Тематические решетки

1. При дескрипторной тематической классификации - решетка ?д(Pд, ?, ?, ?) подмножеств множества Tд = {?1,?2,…,?M} , где Pд=Fд[x] ? Tд , x ? S ? O

2. На иерархическом рубрика-торе при монорубрициро-ванной классификации решетка ?и(Tи?, ?, supи, infи) на корневом дереве рубрикатора Tи ={?1,?2,…,?M } путем добавления вершины ?0 (с пус-той тематикой) и замыкания на нее всех листовых вершин

решетка ?и(T л, ?, ?ил, ?) листовых подмножеств вершин на корневом дереве рубрикатора. Решетки ?и(Tи?, ?, supи, infи) и ?и(T л, ?, ?ил, ?) изоморфны

2. Тематическая решетка мультирубрик иерархического рубрикатора

131 131

131

Тематические решетки (продолжение)

3. На иерархическом рубрикаторе при мультирубрициро-ванной классификации решетка ?и(IР, ?, ?ир, ?) рубрикаторных идеалов IР2 ? IР6, IР2 ? IР1, IР4 ? IР3, IР5 ? IР3, IР6 = IР1 ? IР2, IР3 = IР4 ?ир IР5

Решетка мультирубрик ?и(tм,?м,?м, ?м)

2. Тематическая решетка мультирубрик иерархического рубрикатора

T м2 ?мt м6, T м4 ?мt м3, T м5 ?мt м3, T м6=t м1?мt м2, T м3= T м4 ?м T м5

Определение 1. Мультирубрика T мi доминирует над мультирубрикой T мj – {?(j)1, ?(j)2,…, ?(j)J} ? {?(i)1, ?(i)2,…, ?(i)I} в том и только в том случае, когда для любого m=1,…,J существует k=1,…,I такое, что ?(j)m ? ?(i)k (вершина ?(j)m подчинена по корневому дереву вершине ?(i)k): ? ?(j)m? T мj , ? ?(i)k? T мi ? ?(j)m ? ?(i)k .

132 132

132

Решетка мультирубрик ?и(Tм,?м,?м, ?м)

{?7 , ?8 } ?м {?11, ?12, ?9} 1) {?7 , ?8 , ?11, ?12, ?9} 2) {?7 , ?8 , ?11, ?9} 3) {?11, ?7 , ?4}

2. Тематическая решетка мультирубрик иерархического рубрикатора

?20

Определение 2. Объединением ?м мультирубрик T мi={?(i)1,?(i)2,…,?(i)I} и T мj={?(j)1,?(j)2,…,?(j)J} называется операция формирования множества вершин иерархического рубрикатора T м? = T мi ?м T мj на основе следующего алгоритма: 1)Формируется теоретико-множественное объединение множеств вершин, составляющих мультирубрики – T ? = {?(i)1, ?(i)2,…, ?(i)I}?{?(j)1, ?(j)2,…, ?(j)J}; 2)Формируется набор вершин Tм?' путем исключения из него тех вершин из T ?, которые доминируются хотя бы одной вершиной из того же набора T ? – (?k ? T ?? ?k ? T м?) ? ( ? ?m ? T ?? ?m ? ?k); 3)Формируется итоговый набор вершин T м? путем добавления в него результатов иерархического сжатия по всем подмножествам набора вершин T м?' и одновременным исключением соответствующих наборов сыновей при непустом результате сжатия

Лемма 1. Множество рубрик T м? = T мi ?м T мj, формируемое на основе объединения мультирубрик по определению 2, а) является мультирубрикой; b) доминирует над мультирубриками T мi и T мj, т.е. T мi ? T м? ? T мj ? T м? ; c) является наименьшей верхней границей мультирубрик T мi и T мj.

133 133

133

Решетка мультирубрик ?и(Tм,?м,?м, ?м)

{?7 , ?8 } ?м {?11, ?12, ?9} 1) {?7 , ?8} ? ? 2) {?11, ?12, ?9} ? {?12} 3) ? ? {?12}= {?12}

2. Тематическая решетка мультирубрик иерархического рубрикатора

?20

Определение 3. Пересечением ?м мультирубрик T мi ={?(i)1, ?(i)2,…, ?(i)I} и T мj = {?(j)1, ?(j)2,…, ?(j)J} называется операция формирования множества вершин иерархического рубрикатора T м? = T мi ?м T мj на основе следующего алгоритма: 1)Из множества вершин мультирубрики T мi={?(i)1,?(i)2,…,?(i)I} формируются множество вершин T м'i, которые доминируются хотя бы одной вершиной из множества вершин другой мультирубрики T мj = {?(j)1,?(j)2,…, ?(j)J}; 2)Из множества вершин мультирубрики T мj = {?(j)1,?(j)2,…, ?(j)J} формируются множество вершин T м'j, которые доминируются хотя бы одной вершиной из множества вершин первой мультирубрики T мi ={?(i)1, ?(i)2,…, ?(i)I}; 3)Формируется теоретико-множественное объединение T м? = T м'i ? T м'j

Лемма 2. Множество рубрик T м? = T мi ??м T мj, формируемое на основе пересечения мультирубрик по определению 3, а) является мультирубрикой; b) доминируется мультирубриками T мi и T мj, т.е. T м? ? T мi ? T м? ? T мj ; c) является наибольшей нижней границей мультирубрик T мi и T мj.

134 134

134

3. Модель тематико-иерархического разграничения доступа

1.Компьютерная система ?Тии представляется совокупностью субъектов и объектов доступа. В системе ?Тии действует МБО, санкционирующий запросы субъектов на доступ к объектам, и МБС, управляющий инициализацией субъектов

2.Информационно-логическая схема предметной области системы ?Тии представляется тематическим иерархическим классификатором (рубрикатором). Рубрикатор включает конечное множество тематических рубрик Tи ={?1,?2,…, ?M}, на котором установлен частичный порядок, задаваемый корневым деревом

?20

135 135

135

3.Множество сущностей системы X = S ? O тематически классифицируется на основе отображения на множество мультирубрик Tм, определенных на корневом дереве иерархического рубрикатора. Существует функция тематического окрашивания fм, которая в каждый момент времени для любой сущности системы x ? X определяет соответствующую ей мультирубрику: fм[x] = T мi , T мi ? Tм.

4.Тематический критерий безопасности. Система ?Тии безопасна тогда и только тогда, когда в ней отсутствуют потоки следующих видов: - от сущностей с более широкой тематикой к сущностям с более узкой тематикой; - между несравнимыми по тематике сущностями.

3. Модель тематико-иерархического разграничения доступа

136 136

136

3. Модель тематико-иерархического разграничения доступа

5. Переходы системы ?Тии, обусловленные запросами и осуществлением доступов существующих субъектов к существующим объектам, санкционируются МБО на основе следующих правил:

Правило 1. Доступ субъекта s к объекту o, вызывающий поток по чтению Stream(s)?o , неопасен и может быть МБО разрешен тогда и только тогда, когда мультирубрика субъекта доминирует над мультирубрикой объекта: fм[s] ? fм[o]

Правило 2. Доступ субъекта s к объекту o, вызывающий поток по записи Stream(s)?o , неопасен и может быть МБО разрешен тогда и только тогда, когда мультирубрика объекта доминирует над мультирубрикой субъекта: fм[o] ? fм[s]

137 137

137

3. Модель тематико-иерархического разграничения доступа

6. Переходы системы ?Тии, связанные с порождением новых объектов и субъектов доступа, санкционируются МБО и МБС на основе следующих правил:

Правило 3. Порождение субъектом s нового объекта o', в том числе и за счет чтения из другого объекта o, неопасно и может быть МБО разрешено тогда и только тогда, когда мультирубрика субъекта доминирует над мультирубрикой объекта o, при этом МБО присваивает новому объекту o' мультирубрику, равную или доминирующую над мультирубрикой субъекта: fм[o] ? fм[s] ? fм[o' ]

Правило 4. Инициализация субъектом s нового субъекта s' посредством воздействия на объект источник o неопасна и может быть МБС разрешена тогда и только тогда, когда мультирубрика субъекта доминирует над мультирубрикой объекта-источника, при этом МБС присваивает новому субъекту мультирубрику, тождест-венную мультирубрике инициализирующего субъекта: fм[o] ? fм[s] ? fм[s' ]

138 138

138

Правило 5. Одновременный множественный доступ субъекта s к объектам o1, o2,… или субъектов s1, s2,… к объекту o может быть разрешен (неопасен) тогда и только тогда, когда выполняются следующие условия: при доступе по чтению fм[s] ? ?м{ fм[o1], fм[o2],…} fм[o] ? ?м{ fм[s1], fм[s2],…} при доступе по записи fм[s] ? ?м{ fм[o1], fм[o2],…} fм[o] ? ?м{ fм[s1], fм[s2],…}

3. Модель тематико-иерархического разграничения доступа

7. Переходы системы ?Тии, обусловленные запросами на предоставление множественных доступов, санкционируются МБО на основе следующего правила:

139 139

139

Теорема 1. В системе ?Тии с отображением множества субъектов и объектов доступа на множество тематических мультирубрик, в которой доступы санкционируются по правилам 1, 2, 3, 4 и 5, реализуется множество только таких потоков, которые удовлетворяют тематическому критерию безопасности

Доказательство

3. Модели тематико-иерархического разграничения доступа

По условиям теоремы при санкционировании потока o1? o2 имеем: fм[s] ? fм[o1] ? fм[o2] ? fм[s] Отсюда следует, что: fм[o2] ? fм[o1] Аналогично по условиям теоремы при санкционировании потока s1? s2 имеем fм[s1] ? fм[o] ? fм[s2] ? fм[o] . Отсюда следует, что: fм[s2] ? fм[s1]

140 Лекция 2.4. Модели безопасности на основе ролевой политики

Лекция 2.4. Модели безопасности на основе ролевой политики

Тема 2. Модели безопасности компьютерных систем

? Гайдамакин Н.А., 2008г.

ГОС 075200 «Компьютерная безопасность» ОПД.Ф.10 "Теоретические основы компьютерной безопасности"

Презентация предназначена для отработки и закрепления лекционного материала студентами группы КБ МатМех УрГУ. Распространение и передача презентации третьим лицам запрещается

141 1.Модели ролевого доступа 2.Модели индивидуально-группового доступа 3

1.Модели ролевого доступа 2.Модели индивидуально-группового доступа 3

MMS-модель.

Учебные вопросы:

141

Литература:

1. Зегжда Д.П.,Ивашко А.М. Основы безопасности информационных систем. - М.:Горячая линия - Телеком, 2000. - 452с 2. Гайдамакин Н.А. Разграничение доступа к информации в ком-пьютерных системах. - Екатеринбург: Изд-во Урал. Ун-та, 2003. – 328 с. 3.Корт С.С. Теоретические основы защиты информации: Учеб- ное пособие. – М.: Гелиос АРВ, 2004. – 240с. 4. Девянин П.Н. Модели безопасности компьютерных систем: Учеб. Пособие. – М.Издательский центр «Академия», 2005. – 144с.

142 142

142

Осн. идея: -политика и система защиты должны учитывать организационно-технологическое взаимодействие пользователей

Неформально Роль: - типовая работа в КС (ИС) определенной группы пользователей

Формально РОЛЬ - активно действующая в КС абстрактная сущность, обладающая логически взаимосвязанным набором полномочий, необходимых для выполнения определенных функциональных обязанностей - выделенная и обособленная совокупность полномочий над определенной группой или тематикой ресурсов (объектов), имеющая отдельное и самостоятельное значение в предметной области КС (ИС)

Вместо субъекта - пользователь (конкретная активная сущность) - роль (абстрактная активная сущность)

1. Модели ролевого доступа

Аналог -нормативное положение, функциональные обязанности и права сотрудников по определенной должности

Например м.Б. Роли- кассира, бухгалтера, делопроизводителя, менеджера и т.П.

Впервые в продуктах управления доступом корп. IBM(70-80.гг.)

143 143

143

Система защиты при ролевой политики U - множество пользователей; ? - множество ролей; P - множество полномочий на доступ к объектов; S - множество сеансов системы

Устанавливаются отношения: FP? - P х ? - отображение множества полномочий на множество ролей, например в виде ролевой матрицы доступа (Ap? ) FU? - U х ? - отображение множества пользователей на множество ролей, например, в виде матрицы "пользователи-роли", задающая набор доступных пользователю ролей (Au?)

Организация доступа в две стадии- -создаются роли и для каждой из них определяются полномочия -каждому пользователю назначается список доступных ролей

1. Модели ролевого доступа

144 144

144

Устанавливаются функции: fuser - S?U - для каждого сеанса s функция fuser определяет пользователя, который осуществляет этот сеанс работы с системой - fuser(s)=u froles - S?P(? ) - для каждого сеанса s функция froles определяет набор ролей, которые могут быть одновременно доступны пользователю в этом сеансе: froles(s)={?i |( fuser(s), ?i) ? Au?} fpermissions - S?P - для каждого сеанса s функция fpermissions задает набор доступных в нем полномочий, который определяется как совокупность полномочий всех ролей, задействованных в этом сеансе fpermissions(s)= ???froles(s){pi|(pi , ?)?Ap? }

Критерий безопасности: -система считается безопасной, если любой пользователь, работающий в сеансе s, может осуществить действия, требующие полномочий p, только в том случае , если p =fpermissions(s)

1. Модели ролевого доступа

145 145

145

Наиболее распространены модели с иерархической организацией ролей

Ролевая политика – особый тип политики, основанный на компромиссе между гибкостью управлением доступа дискреционных моделей и жесткостью правил контроля доступа мандатных моделей

Ближе к реальной жизни

-Чем выше роль по иерархии, тем больше полномочий -если пользователю присвоена какая-то роль, то ему автоматически присваиваются все роли ниже по иерархии

1. Модели ролевого доступа

146 146

146

Отношения: Fh?? - ? х ? - частичное отношение порядка на множестве ? , которое определяет иерархию ролей и задает на множестве ? оператор доминирования ?, такой, что если ?1 ? ?2, то роль ?1 находится выше по иерархии, чем роль ?2 FhU? - U х ? - назначает каждому пользователю набор ролей, причем вместе с каждой ролью в него (набор ролей) включаются все роли, подчиненные ей по иерархии, т.е. для ? ?,?'? ?, u?U: ? ? ?' ? (u,?)? Ahu? ? (u,?')? Ahu?

Функции: f hroles - S?P(?) – назначает каждому сеансу s определяет набор ролей из иерархии ролей пользователя, работающего в этом сеансе: f hroles(s)={?i |(? ?' ? ?i (fuser(s), ?') ? Ahu? )} f hpermissions - S?P – определяет полномочия сеанса s как совокуп- ность полномочий всех задействованных пользователем в нем ролей и полномочий всех ролей, подчиненных им: f hpermissions(s)= ???f hroles(s){pi|(? ?''? ? (pi ,?'')?Ap? )}

Отношения и функции при иерархической организации ролей

1. Модели ролевого доступа

147 147

147

Агрегация прав при иерархической организации ролей (виды отношения FP?)

· Строго таксономический листовой подход; · нетаксономический листовой подход; · иерархически охватный подход

Строго таксономический листовой подход

F hp?(? лj) = {p(j)1, p(j)2,…} , F hp?(? лj) ? F hp?(? лi)?…=? , F hp?(? лj) ? F hp?(? лi)?…= P . F hp?(? иk) = F hp?(?(k)i) ? ? F hp?(?(k)j) ? … , где {?(k)i, ?(k)j, …} – полный набор ролей-сыновей для роли ?иk. F hp?(? и1) = P

1. Модели ролевого доступа

148 148

148

Агрегация прав при иерархической организации ролей (виды отношения FP?)

Нетаксономический листовой подход

F hp?(? лj) = {p(j)1, p(j)2,…} , F hp?(? лj) ? F hp?(? лi) ? …? ? , F hp?(? иk) = F hp?(?(k)i) ? ? F hp?(?(k)j) ? … , где {?(k)i, ?(k)j, …} – полный набор ролей-сыновей для роли ?иk.

1. Модели ролевого доступа

149 149

149

Агрегация прав при иерархической организации ролей (виды отношения FP?)

Иерархически охватный подход

F hp?(? лj) = {p(j)1, p(j)2,…} , F hp?(? лj) ? F hp?(? лi) ? …? ? , F hp?(?иk) ? fhp?(?i) = ? , где {? иk ? ?i}.

1. Модели ролевого доступа

150 150

150

Взаимоисключающие роли - множество ролей разбивается на подмножества, объединяющие роли, которые не м.б. назначены одновременно одному пользователю (z.b. "кассир"-"контроллер"). Задается функция fexclusive: ??P(? ) , которая для каждой роли определяет множество несовместимых с ней ролей.

Другие разновидности организации ролей

Т.Н.Статическое разделение обязанностей

Ограничения на одновременное использование ролей в одном сеансе - множество ролей разбивается на подмножества, несовместимых ролей(z.b. "администратор"-"аудитор"). В ходе одного сеанса пользователь может активизировать из каждого подмножества не более одной роли.

Т.Н.Динамическое разделение обязанностей

Количественные ограничения по назначению ролей одному пользователю

Групповое назначение ролей одному пользователю - роль м.б. назначена тогда, когда одновременно назначена еще группа обязательных для данной роли других ролей

1. Модели ролевого доступа

151 151

151

Рабочая группа в отличие от роли не является самостоятельным субъектом доступа

2. Модели индивидуально-группового доступа

1. КС представляется совокупностью следующих наборов сущностей: множества объектов доступа O (o1, o2,…, oM ) ; множества пользователей U (u1, u2,…, uN ); множества рабочих групп пользователей G (g1, g2,…, gK ); множества прав доступа и привилегий R (r1, r2,…, rJ ) ; матрицей доступа A размерностью ((N +K) x M), каждая ячейка которой специфицирует права доступа и привилегии пользователей или их рабочих групп к объектам из конечного набора прав доступа и привилегий R (r1, r2,…, rJ ), т. е. A[u, o] ? R , A[g, o] ? R.

Определение. Рабочей группой называется совокупность пользователей, объединенных едиными правами доступа к объектам и (или) едиными привилегиями (полномочиями) выполнения определенных процедур обработки данных

152 152

152

2. Групповые отношения в системе устанавливаются отображением множества пользователей на множество рабочих групп: FUG : U x G – такое, что одна рабочая группа объединяет нескольких пользователей, а один пользователь может входить в несколько рабочих групп. fgroups: U? G – значением функции fgroups(u) = G является набор рабочих групп G = {gu1, gu2,…} ? G , в которые пользователь u включен по отображению FUG ; fusers: G ? U – значением функции U = fusers(g) является набор пользователей U = {ug1, ug2,…} ? U, которые рабочая группа g включает по отношению FUG .

Отношение «Пользователи-группы» - «многие-ко-многим»

2. Модели индивидуально-группового доступа

153 153

153

3. Управление индивидуально-групповым доступом в системе осуществляется на основе следующего правила (критерия безопасности) индивидуально-группового доступа. Критерий безопасности индивидуально-группового доступа: Система функционирует безопасно, если и только если любой пользователь u?U по отношению к любому объекту o?O может осуществлять доступ с правами R , не выходящими за пределы совокупности индивидуальных прав A[u,o] и прав рабочих групп A[gui,o], в которые пользователь входит по отношению FUG : R ? {A[u,o] ? A[gu1, o] ? A[gu2, o] ?…}, где { gu1, gu2,…} = fgroups(u).

Разделение процесса функционирования на КС не является существенным, поскольку пользователь всегда получает полномочия всех групп, в которые входит

2. Модели индивидуально-группового доступа

154 154

154

4. Членами рабочих групп могут быть коллективные члены, т.е. другие рабочие группы. Вхождение одних групп в другие д.б. транзитивно, антисимметрично и рефлексивно: FGG : G x G - отношение частичного порядка, определяющее иерархию (вложенность) рабочих групп и задающее оператор доминирования ? такое, что если для g1, g2 ? G, g1 ? g2, то g1 включает g2 . f hgroups: G ? G – значением функции fgroups(g) является набор рабочих групп {gg1, gg2,…} ? G , в которые рабочая группа g включена по отношению FGG .

Rg = a[g,o] +a[gg1,o] + a[gg2,o] + … , где {gg1, gg2,…}= fgroups(g)

2. Модели индивидуально-группового доступа

Наследование прав по групповой иерархии происходит «сверху-вниз»

155 155

155

5. На графе вхождения одних групп в другие не должно быть циклов

2. Модели индивидуально-группового доступа

156 156

156

Определения MMS-модели (формализация системы защиты)

Классификация- обозначение, накладываемое на информацию, отражающее ущерб, который м.б. причинен неавторизованным доступом (TOP SECRET, SECRET, + возможно дополн. функц. разгр. - CRYPTO, NUCLEAR и т.п.)

Степень доверия пользователю- уровень благонадежности персоны (иначе допуск пользователя) - априорно заданная характеристика

Пользовательский идентификатор- строка символов, используемая для того, чтобы отметить пользователя в системе. Для использова- ния системы пользователь д. предъявить ей идентификатор, система должна провести аутентификацию пользователя (login)

Пользователь- персона, уполномоченная для использования системы

Роль - работа, исполняемая пользователем. Пользователь в любой момент времени (после login до logon) всегда ассоциирован как минимум с одной ролью из нескольких. Для действий в данной роли пользователь д.б. уполномочен. Некоторые роли в конкр. момент времени м.б. связаны только с одним пользователем. С любой ролью связана способность выполнения определенных операций

Объект- одноуровневый блок информации. Это минимальный блок информации в системе, который м. иметь классификацию, т.е. м.б. раздельно от других поименован. Объект не содержит других объектов (т.е. он не многоуровневый)

3. MMS (military message system)-модель

Лендвер, МакЛин, 1984г.

157 157

157

Определения MMS-модели (продолжение)

Контейнер- многоуровневая информационная структура. Имеет класси- фикацию и м. содержать объекты (со своей классификацией) и др. контейнеры (также со своей классификацией)

Сущность- объект или контейнер

Требование степени доверия объектов- атрибут некоторых контей- неров. Для некоторых контейнеров важно требовать минимум сте- пени доверия, т.е. пользователь, не имеющий соответствующего уровня благонадежности, не может просматривать содержимое контейнера. Такие контейнеры помечаются соотв. атрибутом.

Идентификатор (ID)- имя сущности без ссылки на другие сущности

Ссылка на сущность прямая- если это идентификатор сущности

Ссылка на сущность косвенная- если это последовательность двух и более идентификаторов (имен) сущностей, первая из которых - контейнер.

Операция- функция, которая м.б. применена к сущности (читать, модифицировать и т.д.). Некоторые операции м. использовать более одной сущности (z.b. Copy)

Множество доступа- множество троек (Пользовательский идентификатор или роль - Операция - Индекс операнда), которое связано с сущностью (т.е. дескрипторы доступа объекта)

3. MMS (military message system)-модель

158 158

158

Основная схема функционирования системы -пользователи после идентификации запрашивают у системы операции над сущностями от своего ID или от имени Роли, с которой в данный момент авторизованы

Система функционирует безопасно, если -пользователи ведут себя корректно (не компрометируют систему) на основе некоторых предположений - система защиты (монитор безопасности) реализует определенные ограничения политики безопасности)

Предположения MMS-модели,которым д. следовать пользователи системы

А1. Администратор безопасности корректно присваивает уровни доверия, классификацию устройств и правильные множества ролей

А2. Пользователь определяет корректную классификацию, когда вводит, изменяет, объединяет или переклассифицирует информацию

А3. В пределах установленной классификации пользователь классифицирует сообщения (информацию) и определяет набор (множество) доступа (роли,операции,требуемые степени доверия) для сущностей, которые он создает

А4. Пользователь должным образом контролирует информацию объектов, требующих благонадежности

3. MMS (military message system)-модель

159 159

159

Ограничения безопасности в MMS-модели

В1. Авторизация - пользователь м. запрашивать операции над сущнос- тями, если только пользовательский идентификатор или его теку- щая роль присутствуют в множестве доступа сущностей вместе с этой операцией и с этим значением индекса, соответствующим по- зиции операнда,в которой сущность относят в требуемой операции

В2. Классификационная иерархия - классификация контейнера всегда больше или равна классификации сущностей, которые он содержит

В3. Изменения в объектах - информация, переносимая из объекта всегда содержит классификацию объекта. Информация, вставляемая в объект, должна иметь классификацию ниже классификации этого объекта (аналог NWD)

В4. Просмотр - пользователь может просматривать (на некотором устройстве вывода) только сущности с классификацией меньше, чем классификация устройства вывода и степень доверия контей- нера-устройства к пользователям (аналог NRU + NRUустроств)

В5. Доступ к объектам, требующим степени доверия - пользователь может получить доступ к косвенно адресованной сущности внутри контейнера, требующего степени доверия, если только его степень доверия не ниже классификации контейнера

В6. Преобразование косвенных ссылок - пользовательский индикатор признается законным для сущности, к которой он обратился косвенно, если только он авторизован для просмотра этой сущности через ссылку

3. MMS (military message system)-модель

160 160

160

Модель Лендвера-Маклина (MMS) сочетает принципы: ролевого, дискреционного и мандатного принципов и оказывает сильное влияние на модели и технологии современных защищенных КС

Ограничения безопасности в MMS-модели (продолжение)

В7. Требование меток - сущности, просмотренные пользователем, д.б. помечены его степенью доверия (т.е. впоследствии они ему доверяют)

В8. Установка степеней доверия, ролей, классификация устройств - только пользователь с ролью администратора безопасности системы м. устанавливать данные значения. Текущее множество ролей пользователя м.б. изменено только администратором безопасности системы или самим же этим пользователем

В9. Понижение классификации информации - никакая классифици-рованная информация не м.б. понижена в уровне своей классификации, за исключением случая, когда эту операцию выполняет пользователь с ролью "Пользователь, уменьшающий классификацию информации"

В10. Уничтожение - операция уничтожения информации проводится только пользователем с ролью "Пользователь, уничтожающий информацию"

3. MMS (military message system)-модель

161 Лекция 2.5. Автоматные и теоретико-вероятностные модели невлияния и

Лекция 2.5. Автоматные и теоретико-вероятностные модели невлияния и

невыводимости.

Тема 2. Модели безопасности компьютерных систем

? Гайдамакин Н.А., 2008г.

ГОС 075200 «Компьютерная безопасность» ОПД.Ф.10 "Теоретические основы компьютерной безопасности"

Презентация предназначена для отработки и закрепления лекционного материала студентами группы КБ МатМех УрГУ. Распространение и передача презентации третьим лицам запрещается

162 1. Понятие и общая характеристика скрытых каналов утечки информации 2

1. Понятие и общая характеристика скрытых каналов утечки информации 2

Автоматная модель невлияния Гогена-Месигера (GM-модель) 3. Теоретико-информационные модели невыводимости и невлияния (невмешательства).

Учебные вопросы:

162

Литература:

1.Теория и практика обеспечения информационной безопасности / Под ред. П.Д. Зегжды. М.:Яхтсмен, 1996. - 302с 2. Грушо А.А.,Тимонина Е.Е.Теоретические основы защиты информации. М.:Яхтсмен, 1996. - 192с 3. Теоретические основы компьютерной безопасности: Учеб. пособие для вузов / П.Н.Девянин, О.О.Михальский, Д.И.Правиков и др.- М.: Радио и Связь, 2000. - 192с. 4. Корт СС. Теоретические основы защиты информации: Учебное пособие. - М.: Гелиос АРВ, 2004. – 240с. 5. Девянин П.Н. Модели безопасности компьютерных систем: Учеб. пособие. – М.: Изд.центр «Академия», 2005. – 144 с.

163 163

163

Три вида:

Одна из самых сложных проблем безопасности КС: скрытые каналы утечки информации

Определение 1.- механизм, посредством которого в КС может осуществляться информационный поток (передача информации) между сущностями в обход политики (правил) разграничения доступа

В моделях дискреционного доступа - возможность осуществления доступа субъектов к объектам вне области безопасного доступа, к примеру, вне явных разрешений, "прописанных" в матрице доступа (потоки за счет "троянских программ" и неявные информационные потоки – за счет доступа к общим объектам).

В моделях мандатного доступа - потоки "сверху вниз" – от сущностей с высоким уровнем безопасности к сущностям более низких уровней безопасности вне явного нарушения правил NRU и NWD (т.е. без непосредственного доступа к объектам на чтение или запись)

1. Понятие и общая характеристика скрытых каналов утечки информации

- Скрытые каналы по памяти (на основе анализа объема и других статических параметров объектов системы); - скрытые каналы по времени (на основе анализа временных параметров протекания процессов системы); - скрытые статистические каналы (на основе анализа статистических параметров процессов системы

164 164

164

Пример скрытого канала по памяти

Пусть имеется система, в которой работают доверенный и недоверенный пользователь, разделяющие общий ресурс памяти

Состояние системы

Информация, полученная по скрытому каналу

1. Соотношение памяти 50Х50

1 бит

2. Соотношение памяти 70Х30

3. Соотношение памяти 50Х50

1 бит

4. Соотношение памяти 70Х30

1 бит

Подходы к перекрытияю скрытых каналов информационное нвлияние и невыводимость

1. Понятие и общая характеристика скрытых каналов утечки информации

165 165

165

Два уровня безопасности (решетка из 2-х элементов) – высокий (high) и низкий (low) соответственно в системе работает две группы пользователей – высокоуровневые и низкоуровневые

Критерий безопасности в GM-модели - ввод высокоуровневого пользователя не может смешиваться с выводом низкоуровневого пользователя

Особая (автоматная) разновидность класса моделей конечных состояний КС можно представить детерминированным автоматом, на вход которого поступает последовательность команд пользователей для каждой команды каждого пользователя задана функция вывода, определяющая то, что каждый пользователь "видит" на выходе (на устройстве вывода)

J.Goguen, J.Meseguer, 1982г. Идеология невлияния (невмешательства) вводов (команд) одних пользователей на (в) выводы других пользователей (выводы – то, что они «видят» на выходе)

2. Автоматная модель невлияния Гогена-Месигера (GM-модель)

166 166

166

Основные тезисы и определения GM-модели

1.Состояние системы описывается 4-мя элементами: -высокий ввод (high-in) -высокий вывод (high-out) -низкий ввод (low-in) -низкий вывод (low-out)

2.На множестве пользователей u вводится функция cl(u), отражающая уровень доверия пользователю (низкий или высокий)

3.Переходы системы по командам пользователей описываются функцией: - out(u, hist.соmmand(u)) где hist.соmmand(u) - история вводов системы (traces) от момента, когда был осуществлен последний ввод in(u) пользователя u.

4.Вводится функция очищения ввода purge - очищает историю ввода traces от наличия в ней команд пользователей, чей уровень доверия ниже уровня доверия пользователя u

2. Автоматная модель невлияния Гогена-Месигера (GM-модель)

167 167

167

4.Формальное определение функции очищения : purge: users,traces ? traces (функция, отображающая историю ввода системы с момента действий конкретного пользователя u в область же историй ввода), такая, что: - purge(u, < >) = < >, где < > - пустая история ввода purge(u, hist.command(u)) = hist.command(u)/command(w), если command(w) - ввод, исполненный пользователем w с момента in(u) и cl(u)<cl(w) purge(u, hist.command(u))=hist.command(u) ? hist.command(w), если command(w) - ввод, исполняемый пользователем w с момента in(u), и cl(u)?cl(w)

Система удовлетворяет требованию невлияния (невмешательства), если и только если: для всех пользователей u, всех историй hist, и всех команд вывода command out(u, hist.command(u)) = out(u, purge(u, hist.command(u))) т.е. когда вывод в системе организован так, что система всегда чиста по смешиванию высоких и низких вводов в предыстории каждого вывода)

Основное правило в GM-модели невлияния

Осн. Достоинство - запрещаются многие скрытые каналы утечки

2. Автоматная модель невлияния Гогена-Месигера (GM-модель)

168 168

168

-КС (многопользовательские ОС и СУБД, глобальные сети) в реальности представляют не детерминированные, а вероятностные системы

Подходы к решению проблемы скрытых каналов на основе теоретико-информационной интерпретации моделей КС (идеи Д.Денинга):

На этой основе в рамках политики полномочного доступа рассматривается следующая система:

H и L являются случайными величинами

Информационная невыводимость

Информационное невлияние (невмешательство)

3. Теоретико-информационные модели невыводимости и невлияния (невмешательства)

Состояния КС, в т.ч. в части конфиденциальных объектов имеют вероятностный характер. Понятие информационных потоков расширяется в рамках трактовки информации по К.Шеннону

169 169

169

Модели информационной невыводимости и информационного невлияния - теоретическая основа недопущения и нейтрализации скрытых каналов утечки информации и информационного воздействия

Информационная невыводимость

Определение 2.В системе присутствует информационный поток от высокоуровневых объектов H к низкоуровневым L, если некое возможное значение переменной в некотором состоянии низкоуровневого объекта L невозможно одновременно с возможными значениями переменных состояния высокоуровневых объектов H

Определение 3.Система безопасна в смысле информационной невыводимости, если в ней отсутствуют информаци- онные потоки вида, описанного в Определении 1

Иначе - нет информационного потока от H к L тогда и только тогда, когда выполняется следующее условие: если p(h)>0, p(l)>0, то p(h|l)>0

Но – при p(H)>0, p(L)>0 ? p(L|H) = p(H,L)/p(H) = p(H|L)p(L)/p(H)

Отсутствие и обр. Потоков – фактически полная изоляция H и L

Отсюда из p(H|L)>0 ? p(L|H)>0

3. Теоретико-информационные модели невыводимости и невлияния (невмешательства)

Понятие информации по Шеннону - изменение степени неопределенности знания о состоянии объекта или само изменение степени неопределенности состояния объекта

Т.Е. Наблюдая L, можно вывести информацию о состоянии H (утечка по скры- тому каналу «сверху-вниз»)

Т.Е. При каком-либо L м.Б. Раз-личные H с ненулевой вер-ю

170 170

170

P(l|h)= p(l), что при p(h)>0, p(l)>0 равносильно p(h|l)= p(h)

Вместе с тем: потоки «снизу-вверх» неопасны и допустимы при полной изоляции разноуровневых объектов существенно снижается функциональность КС

Информационное невлияние (невмешательство)

Определение 4.Система безопасна, если на состояние высокоуровне- вых объектов не влияет состояние низкоуровневых объектов в предшествующие моменты времени, и наоборот

p(Lt|Ht-1 ) = p(Lt) p(Ht|Lt-1 ) = p(Ht)

С другой стороны нельзя также требовать - p(Lt|Ht-1 ) = p(Lt ) (z.b. после сбоя значение несекретного файла может определяться на осно-ве состояния файла аудита до сбоя)

3. Теоретико-информационные модели невыводимости и невлияния (невмешательства)

Т.О. В модели информационной невыводимости требуется, чтобы низкоуровневая информация была независима от высокоуровневой:

Другой подход

171 171

171

Поэтому требования информационного невлияния смягчаются - низкоуровневые объекты не должны иметь возможности накапливать информацию о значениях высокоуровневых объектах (чтобы знание Lt-1 и Lt не давало бы новой информации о Ht-1 ):

p(Lt|Ht-1 , Lt-1 ) = p(Lt|Lt-1 )

Что равносильно - p(ht-1|lt , lt-1 ) = p(ht-1|lt-1 )

Т.Е. Запрещается поток из lt в ht-1 , но !!! не запрещается из lt в ht+1

Т.О. Высокоуровневые объекты могут принимать информацию о состоянии низкоуровневых объектов в предыдущие моменты времени (неопасные потоки «снизу-вверх»)

Определение 5.Система безопасна в смысле информационного невмешательства (невлияния), если выполняется равенство: p(Lt|Hs , Ls ) = p(Lt|Ls ) , где s,t = 0,1,2, … и s < t

3. Теоретико-информационные модели невыводимости и невлияния (невмешательства)

172 172

172

Реализации моделей информационной невыводимости и информационного невмешательства

- Технологии «представлений» (views) в СУБД и ОС

- Технологии «разрешенных процедур» в АС

3. Теоретико-информационные модели невыводимости и невлияния (невмешательства)

173 173

173

Определение 6. "Представлением" информации КС называется процедура формирования и предоставления именованному пользователю после его входа в систему и аутентификации необходимого ему подмножества информационных объектов КС, в том числе, с возможным их количественным и структурным видоизменением, исходя из задач разграничения доступа к информации

На языке SQL CREATE VIEW ИмяПредставления [(поле1[, поле2[, ...]])] AS инструкция_SELECT __ ; GRANT SELECT ON ИмяПредставления TO ИмяПользователя;

- Эффективное средство решения проблемы скрытых каналов утечки информации по памяти, но не защищает от скрытых каналов второго и третьего вида – т.Е. От каналов, возникающих на основе анализа временных и статистических параметров процессов в системах коллективного доступа к общим информационным ресурсам

3. Теоретико-информационные модели невыводимости и невлияния (невмешательства)

174 174

174

- часть из проблем по скрытым каналам по времени связаны с интерфейсом АС и, основывается, в частности, на технике "разрешенных процедур"

Определение 7. "Системой разрешенных процедур" называется разновидность интерфейса АС, когда при входе в систему после идентификации и аутентификации пользователям предоставляет только лишь возможность запуска и исполнения конечного набора логико-технологических процедур обработки информации без возможности применения элементарных методов доступа (read, write, append, update, create, delete и т.п.) к объектам системы

3. Теоретико-информационные модели невыводимости и невлияния (невмешательства)

175 175

175

Теоретико-вероятностная трактовка GM-автомата

Система – не детерминированный, а вероятностный автомат, состояния которого реализуются с вероятностью {0,1}

Определение 8.Система, функционирование которой представляется совокупностью четырех событий с вероятностью{0,1} - high-in, high-out, low-in и low-out обладает свойством информационного невмешательства, если выполняется равенство: p(low-outt|high-ins ,low-ins ) = p(low-outt|low-ins ) где s,t = 0,1,2, … и s < t

т.о. - модели невыводимости и невмешательства "сильнее" и ближе к реальности, чем классическая модель полномочного доступа Белла-ЛаПадулы, т.к. более гибко контролируют потоки информации между сущностями с разным уровнем безопасности - дают методологию борьбы со скрытыми каналами утечки информации, лежащую в основе, в частности технологий "представлений" и "разрешенных процедур"

3. Теоретико-информационные модели невыводимости и невлияния (невмешательства)

176 Лекция 2.6. Модели и технологии обеспечения целостности данных

Лекция 2.6. Модели и технологии обеспечения целостности данных

Тема 2. Модели безопасности компьютерных систем

? Гайдамакин Н.А., 2008г.

ГОС 075200 «Компьютерная безопасность» ОПД.Ф.10 "Теоретические основы компьютерной безопасности"

Презентация предназначена для отработки и закрепления лекционного материала студентами группы КБ МатМех УрГУ. Распространение и передача презентации третьим лицам запрещается

177 1. Общая характеристика моделей и технологий обеспечения целостности

1. Общая характеристика моделей и технологий обеспечения целостности

данных 2. Мандатная модель Кен Биба и дискреционная модель Кларка-Вильсона 3. Технологии ЭЦП 4. Мониторы транзакций в СУБД «Клиент-сервер».

Учебные вопросы:

177

1. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. - М.:Горячая линия - Телеком, 2000. - 452с 2. Грушо А.А.,Тимонина Е.Е. Теоретические основы защиты информации. М.:Яхтсмен, 1996. - 192с 3.Теоретические основы компьютерной безопасности : Учеб. Пособие для вузов / П.Н.Девянин, О.О.Михальский, Д.И.Правиков и др. - М.: Радио и связь, 2000.-192с. 4.Гайдамакин Н.А. Автоматизированные информационные системы, базы и банки данных. Вводный курс. – М.: Гелиос АРВ, 2003. 368с

Литература:

178 178

178

Понятие ЦЕЛОСТНОСТИ данных

модели обеспечения целостности в рамках субъектно-объектной формализации КС (модель Биба, модель Кларка-Вильсона)

Криптографические технологии электронной цифровой подписи

технологии параллельного выполнения транзакций в клиент-серверных СУБД

объектов, содержащих код ПО

Отсутствие подделки при: - передаче данных - обработке данных

Отсутствие ошибок в: - структуре данных - содержании данных

1. Общая характеристика моделей обеспечения целостности данных

Свойство, гарантирующее точность и полноту информации, а также методов ее обработки такое свойство информации, при котором ее содержание и структура (данных) определены уполномоченными лицами и процессами

Неизменность

Неискаженность

Правильность

179 179

179

Система защиты - совокупность - множества субъектов S - множества объектов O - множества операций над объектами доступа R (два элемента - read и write) - решетки уровней безопасности ? субъектов и объектов (решетка уровней целостности данных) - функции F, отображающей элементы множеств S и O в ? - множества состояний системы V, которое определяется множеством упорядоченных пар (F,A) - начального состояния v0 - набора запросов Q - функции переходов T: (VxQ) ? V, которая переводит систему из одного состояния в другое при выполнении запросов субъектов на доступ к объектам

2. Мандатная модель Биба (сер.70-х годов, Кен Биба), Дискреционная модель Кларка Вильсона (1987г.)

180 180

180

Модель Биба - инверсия модели Белла-ЛаПадулы

- Запись данных субъектом s ? S в объект o ? O с более высоким уровнем безопасности – F (s) < F (o) (no write up - NWU) – нельзя писать вверх, т.К. В результате может произойти нарушение целостности («загрязнение») объекта

- Чтение данных субъектом s ? S из объекта o ? O с более низким уровнем безопасности – F (o) < F (s) (no read down - NRD) – нельзя читать вниз, т.К. В результате может произойти нарушение целостности («загрязнение») субъекта

Критерий безопасности (обеспечения целостности) - недопустимы потоки «снизу вверх», т.к. могут нарушить целостность объектов более высокого уровня безопасности:

2. Мандатная модель Биба (сер.70-х годов, Кен Биба), Дискреционная модель Кларка-Вильсона (1987г.)

181 181

181

Разновидности модели Биба

Но, т.К. В результате они могут быть загрязнены, то после завершения операции чтения, уровень целостности субъектов должен быть понижен до уровня целостности прочитанного объекта – F (o) < F (s) – f*(s) ? F (o)

Но, т.К. В результате объект может быть загрязнен, то после заверше-ния операции записи, уровень целостности измененного объекта должен быть понижен до уровня целостности изменяющего субъекта – F (s) < F (o) – f*(o) ? F (s)

Модель с понижением уровня субъекта

Модель с понижением уровня объекта

Субъекты могут читать любые объекты

Субъекты могут писать в любые объекты

Главный недостаток - «деградация» системы

2. Мандатная модель Биба (сер.70-х годов, Кен Биба), Дискреционная модель Кларка-Вильсона (1987г.)

182 182

182

- Решетка ?к уровней конфиденциальности и функция отображения на нее субъектов и объектов доступа fк(x) = lк ? ?к , x ? S ? O

- Решетка ?ц уровней целостности и функция отображения на нее субъектов и объектов доступа fц(x) = lц ? ?ц , x ? S ? O

- Принятие решения на доступ одновременно по правилам NRU и NWD по функции fк(x) и правилам NRD и NWU по функции fц(x)

- Операции read и write возможны только в пределах одного уровня безопасности f(s) = f(o) - полностью изолированная по уровням безопасности система (т.Н. «Равное чтение» и «равная запись»)

Возможности объединения мандатной модели обеспечения конфиденциальности Белла-ЛаПадулы с мандатной моделью обеспечения целостности Биба

1. На основе двух различных решеток в одной КС

2. На основе одной общей решетки

3. На основе одной общей решетки, но со спецификой отображения

Но м.Б. Противоречия и тупики

2. Мандатная модель Биба

субъекты и объекты с высокими требованиями целостности располагаются на нижнем уровнем иерархии решетки (сист.ПО и прогр-ст) субъекты и объекты с высокими требованиями конфиденциальности располагаются на самом высоком уровне иерархии решетки (секр. данные и доверенные пользователи)

183 183

183

Исходные положения

Главная идея «тройки целостности»: «субъект- -операция(транзакция), не нарушающая целостность- -объект»

1. Все множество объектов D разделяется на объекты CDI , требующие контроля целостности (constrained data items), и объекты UDI, не требующие контроля целостности (unconstrained data items) D = CDI ? UDI , CDI ? UDI =?

2. На множестве элементарных операций над объектами выделяются совокупности (последовательности), обособляющиеся в логически самостоятельные сущности, называемые процедурами преобразования TP (transformation procedures)

3. Дополнительно вводится особый класс процедур IVP над данными, которые обеспечивают проверку целостности контролируемых данных (integrity verification procedures)

4. Те процедуры преобразования данных TP, применение к результатам которых процедур проверки целостности IVP дает положительный результат, называются «корректно (правильно, хорошо) сформированными транзакциями»

2. Мандатная модель Биба (сер.70-х годов, Кен Биба), Дискреционная модель Кларка-Вильсона (1987г.)

184 184

184

Правила функционирования системы

2. Дискреционная модель Кларка-Вильсона (1987г.)

С1. Множество всех процедур контроля целостности IVP должно содержать процедуры контроля целостности любого элемента данных из множества всех CDI

С2. Все процедуры преобразования TP должны быть хорошо сформированными транзакциями, т.е. не нарушать целостности данных, и применяться только по отношению к списку элементов (объектов) CDI, устанавливаемых администратором системы

Е1. Система должна контролировать допустимость применения TP к элементам CDI в соответствии со списками, указанными в правиле С2

Е2. Система должна поддерживать список разрешенных конкретным пользователям процедур преобразования TP с указанием допустимого для каждой TP и данного пользователя набора обрабатываемых элементов CDI (т.е. тройки «субъект-TP-объект CDI»)

С3. Список, определенный правилом С2, должен отвечать требованию разграничения функциональных обязанностей (в т.ч. совм. вып-я)

Е3. Система должна аутентифицировать всех пользователей, пытающихся выполнить какую-либо процедуру преобразования TP

С4. Каждая TP должна записывать в журнал регистрации информацию, достаточную для восстановления полной картины каждого применения этой TP. Журнал регистрации – это специальный элемент CDI, предназначенный только для добавления в него информации

С5. Специальные TP могут корректно обрабатывать UDI, превращая их в CDI

Е4. Только специально уполномоченный субъект (пользователь) может изменять списки, определенные в правилах С2 и Е2. Этот субъект не имеет права выполнять какие-либо действия, если он уполномочен изменять регламентирующие эти действия списки

185 185

185

Обобщенная структурная схема системы ЭЦП

Против- ник

3. Криптографические технологии ЭЦП

Система ЭЦП включает два этапа: процедуру постановки подписи процедуру проверки подписи

Системы ЭЦП основываются на идеологии асимметричных криптосистем

186 186

186

3. Криптографические технологии ЭЦП

Электронная цифровая подпись в стандарте RSA (1977, Массачуссет)

T'+S'

При условии сохранении в тайне секретных ключей ЭЦП удостоверяет : - подлинность автора (защита от маскарада) - подлинность переданных данных (защита от активного перехвата) Для подтверждения факта и подлинности доставки данных получатель В должен направить отправителю А уведомление (квитанцию) о вручении (ЭЦП подтверждающего ответного сообщения)

187 187

187

Требования к хеш-функциям

Хеш-функции (хеш-свертка)

3. Криптографические технологии ЭЦП

- Криптографическое преобразование данных произвольной дли-ны в строку битов фиксированной длины (обычно 160-256 бит)

Необратимость – вычисление исходных данных по их хеш-свертке невозможно или представляет непреодолимую вычислительную преграду

Это свойство называют «стойкостью в сильном смысле»

Стойкость к коллизиям – вероятность того, что для двух различ- ных исходных данных их хеш-свертки совпадут д.б. = 0, или ничтожной

- Подобрать по известным исходным данным и их хеш-свертке другие исходные данные с той-же хеш-сверткой невозможно или представляет непреодолимую вычислительную преграду

Чувствительность – изменение даже одного бита исходных данных, д. приводить к существенному изменению хеш-свертки

188 188

188

Обобщенная схема ключевой хеш-функции

Отк- ры- тые дан- ные

mi= Pi?mi-1

PN'

P2

P1

Pi – n-битный блок, PN' – доп-ся до n-разр.

Обобщенная схема безключевой хеш-функции

Отк- ры- тые дан- ные

mi=f(Pi?mi-1)

PN'

P2

P1

Pi – m-битный блок, PN' – доп-ся до m-разр.

P0 – фиксированный n-битный начальный вектор

3. Криптографические технологии ЭЦП

Как правило, хеш-функции строят путем итерационных процедур на основе одношаговых сжимающих функций

N = 160 – 256 бит

N-разрядов

Нет

F (x1, x2) – n-битная одношаговая сжи-мающая функция, обладающая свойст-вом однонаправленности, x1 – m-бит-ный, x2 – n-битный двоичные вектора

189 189

189

Ключи

Для шифрования данных

Для шифрования ключей

Сеансовые ключи

Генерация ключей

Детерминированные методы

Недетерминированные методы

3. Криптографические технологии ЭЦП

Подсистемы создания, хранения и распространения ключей – важнейший элемент криптосистем

Стандарт ANSI X9.17

Путем формирования псевдослучай-ных последовательностей большой длины на основе ПСП малой длины с заданными (теми же) стат.св-ми

На основе случайных физических процессов (генераторы шума и т.п.)

Сеансовые ключи – на основе паролей пользователей

Сдвиг. регистры с лин. обр. связями

На основе процессов физ. природы – движ. мыши, нажатие клавиш

190 190

190

Хранение ключей

Криптоустройства, имеющие спец. защищенную от НСД память для ключей

Хранение ключей в зашифрованном виде на ПЭВМ

Использование внешних устройств для хранения ключей (диски, магн. карты…)

Распределение ключей

Через фельдсвязь

Через спец. территориально-распределенную систему

Через передачу (в зашифрованном виде) или спец. режим формирования по открытым каналам связи на основе асимметричных криптопротоколов

Через инфраструктуру открытых ключей посредством использования идеологии сертификатов ключей

3. Криптографические технологии ЭЦП

Для систем с открытым ключом

191 191

191

Сертификат ключа

Инфраструктура открытых ключей

Сертификационный (удостоверяющий) центр

Иерархическая система сертификационных центров

3. Криптографические технологии ЭЦП

абонент, получивший сообщение, должен быть уверен, что открытый ключ, с помощью которого расшифровывается сообщение или проверяет-ся ЭЦП, действительно принадлежит объявленному отправителю

- набор данных, заверенный ЭЦП центра сертификации (удостоверяющего центра) и включающий открытый ключ и список атрибутов, относящихся к абоненту ключа (имя абонента, название центра сертификации, номер сертификата, время действия сертификата, предназначение ключа (шифрование, ЭЦП))

- проверив ЭЦП сертификата по известному открытому ключу сертифи-кационного центра, можно убедиться, что находящийся в нем открытый ключ действительно принадлежит обозначенному пользователю

Доверенная третья сторона регистрирует абонентов открытых ключей изготавливает открытые и закрытые ключи и сертификаты открытых ключей обеспечивает доступ к сертификатам открытых ключей ведет справочник действующих и отозванных сертификатов

Сертификат открытого ключа самого сертификационного центра выдает сертификационный центр более высшей иерархии

192 192

192

Структура СУБД

4. Мониторы транзакций в СУБД «Клиент-сервер»

193 193

193

Клиент-серверные системы

Транзакция - последовательная совокупность операций, имеющая отдельное смысловое значение по отношению к текущему состоянию базы данных Совокупность функций СУБД по организации и управлению транзакциями - монитор транзакций

4. Мониторы транзакций в СУБД «Клиент-сервер»

Транзакции играют важную роль в механизме обеспечения СУБД ограничений целостности базы данных. Ограничения целостности непосредственно проверяются по завершению очередной транзакции. Если условия ограничений целостности данных не выполняются, то происходит "откат" транзакции (выполняется SQL–инструкция ROLLBACK), в противном случае транзакция фиксируется (выполняется SQL–инструкция COMMIT).

194 194

194

Виды нарушений целостности (при параллельном выполнении транзакций)

Потерянные изменения - когда две транзакции одновременно изменяют один и тот же объект базы данных. В том случае, если в силу каких-либо причин, например, из–за нарушений целостности данных, происходит откат, скажем, второй транзакции, то вместе с этим отменяются и все изменения, внесенные в соответствующий период времени первой транзакцией. В результате первая еще не завершившаяся транзакция при повторном чтении объекта не "видит" своих ранее сделанных изменений данных. "Грязные" данные - когда одна транзакция изменяет какой-либо объект данных, а другая транзакция в этот момент читает данные из того же объекта. Так как первая транзакция еще не завершена, и, следовательно, не проверена согласованность данных после проведенных, или вовсе еще только частично проведенных изменений, то вторая транзакция может "видеть" соответственно несогласованные, т.е. "грязные" данные. Неповторяющиеся чтения - когда одна транзакция читает какой-либо объект базы данных, а другая до завершения первой его изменяет и успешно фиксируется. Если при этом первой, еще не завершенной, транзакции требуется повторно прочитать данный объект, то она "видит" его в другом состоянии, т.е. чтение не повторяется.

4. Мониторы транзакций в СУБД «Клиент-сервер»

195 195

195

Механизмы изоляции транзакций и преодоления ситуаций несогласованной обработки данных

Синхронизационные захваты (блокировки) объектов базы данных

Два основных режима захватов

Совместный режим (shared) - захват по чтению

Монопольный режим (exclusive) - захват по записи

Двухфазный протокол синхронизационных захватов (блокировок) объектов базы данных – 2PL (Two–Phase Locks)

1-я фаза - транзакция запрашивает и накапливает захваты необходимых объектов в соответствующем режиме

"Гранулирование" объектов захвата

2-я фаза – выполнение операций над захваченными объектами, фиксация изменений (или откат по соображениям целостности данных), освобождение захватов

Автоматическое обнаружение (распознавание) тупиковых ситуаций на построении и анализе графа ожидания транзакций

Временные метки объектов базы данных

4. Мониторы транзакций в СУБД «Клиент-сервер»

Возможность возникновения тупиковых ситуаций (Deadlock)

196 196

196

Механизмы изоляции транзакций и преодоления ситуаций несогласованной обработки данных

Временные метки объектов базы данных

Каждой транзакции приписывается временная метка, соответствующая моменту начала выполнения транзакции

При выполнении операции над объектом транзакция "помечает"его своей меткой и типом операции (чтение или изменение)

Если другой транзакции требуется операция над уже "помеченным" объектом, то выполняются действия по следующему алгоритму:

Более частые откаты транзакций, но отсутствие тупиков

4. Мониторы транзакций в СУБД «Клиент-сервер»

Проверяется, не закончилась ли транзакция, первой "пометившая" объект; если первая транзакция закончилась, то вторая транзакция помечает его своей меткой и выполняет необходимые операции; если первая транзакция не закончилась, то проверяется конфликтность операций (конфликтно любое сочетание, кроме "чтение–чтение"); если операции неконфликтны, то они выполняются для обеих транзакций, а объект до завершения операций помечается меткой более поздней, т.Е. Более молодой транзакции; если операции конфликтны, то далее происходит откат более поздней транзакции и выполняется операция более ранней (старшей) транзакции, а после ее завершения, объект помечается меткой более молодой транзакции и цикл действий повторяется.

197 Лекция 2.7. Методы и технологии обеспечения доступности (сохранности)

Лекция 2.7. Методы и технологии обеспечения доступности (сохранности)

данных.

Тема 2. Модели безопасности компьютерных систем

? Гайдамакин Н.А., 2008г.

ГОС 075200 «Компьютерная безопасность» ОПД.Ф.10 "Теоретические основы компьютерной безопасности"

Презентация предназначена для отработки и закрепления лекционного материала студентами группы КБ МатМех УрГУ. Распространение и передача презентации третьим лицам запрещается

198 1. Резервирование архивирование и журнализация данных 2. Технологии и

1. Резервирование архивирование и журнализация данных 2. Технологии и

системы репликации данных.

Учебные вопросы:

198

Литература: 1. Гайдамакин Н.А. Разграничение доступа к информации в компьютерных системах. – Екатеринбург: изд-во Урал. Ун- та, 2003. – 328 с. 2. Смирнов С.Н. Безопасность систем баз данных. – М.: Гелиос-АРВ, 2007. – 352с. 3. Гайдамакин Н.А. Автоматизированные информационные системы, базы и банки данных. Вводный курс: Учебное пособие. – М.: Гелиос-АРВ, 2002. – 308с.

199 199

199

Безопасность Информации в КС (составляющие защищенного состояния информации)

1. Резервирование, архивирование и журнализации данных

Обеспечение правомерной доступности информации

-отсутствие препятствий в правомерном доступе к данным (обеспечивается политикой и механизмами разграничения доступа) -обеспечение сохранности файлов данных БД (профилактика носителей, организационные меры) -восстановление данных в случае программно-аппаратных сбоев, ошибочных действий пользователей либо умышленных действий злоумышленников, приводящих у уничтожению (потере, разрушению) файлов данных БД (резервирование/архивирование, журнализация данных, репликация БД)

Обеспечение конфи-денциально-сти информа-ции

Обеспечение целостности информации

Обеспечение доступности информации

200 200

200

1. Резервирование, архивирование и журнализации данных

Резервирование

«Горячее» резервирование

Архивирование

-организационно-технологическая система создания и обновления (поддержания актуальности) копий файлов БД -установление и поддержания режима размещения, хранения и использования (доступа) копий БД для восстановления БД в случае сбоев и разрушений -осуществляется либо средствами копирования файлов ОС, либо самой СУБД (специальными режимами работы СУБД или специальными утилитами СУБД)

-постоянное и непрерывное функционирование 2-х или более равнозначных («зеркальных») копий БД в КС, относящихся к т.н. «системам реального времени» -все изменения данных одновременно и параллельно фиксируются в зеркальных копиях БД -при сбое одной копии функционирование КС обеспечивается другой «зеркальной» копией

-по сути другое название системы резервирования данных, поскольку из-за большого размера файлов БД, создание резервных копий осуществляется с одновременным «сжатием» файлов данных -сохраненная и «сжатая» копия БД называется «архивом» БД

201 201

201

1. Резервирование, архивирование и журнализации данных

Журнализация данных

Изменения данных

Файлы БД

Архивная копия файлов БД

-система ведения специальных журналов текущих изменений данных для – а) аудита действий пользователей КС и б) для восстановления актуального состояния БД из существующего архива и произведенных с момента его создания изменений данных

Основной носитель БД

Отдельный от основного носитель

Отдельный от основного носитель

Файл журнала изменений данных

202 202

202

1. Резервирование, архивирование и журнализации данных

Обновление архивной копии файлов БД

Копирование на осн.носитель архивной копии файлов БД

Режимы журнализация данных

-синхронный (изменения данных синхронно с БД вносятся в журнал изменений) -асинхронный (изменения данных в журнале фиксируются в по определенному графику или отдельным командам

203 203

203

2. Технологии и системы репликации данных

Реплика БД

-особая копия БД для размещения на другом компьютере сети с целью автономной работы пользователей с одинаковыми (согласованными) данными общего пользования

Системы репликации данных

-разновидность технологий создания и функционирования распределенных КС -разновидность технологий обеспечения сохранности и правомерной доступности информации -пользователи КС работают на своих вычислительных установках с одинаковыми (общими) данными, растиражированными по локальным БД -снимается проблема быстродействия и ресурсоемкости сервера КС

Основные проблемы систем репликации

-Обеспечение непрерывности согласованного состояния данных -обеспечение непрерывности согласованного состояния структуры данных

204 204

204

2. Технологии и системы репликации данных

Программно-техническая структура систем репликации

Общая БД (Реплика 1)

Общая БД (Реплика 2)

Вычислительная установка 1

Ядро СУБД

Прикладной компонент 1

Изменения данных

Табл. 1

Табл. 1

Драйвер репликации

Файл сетев. конфигурации

SQL

SQL

Файл сетев. конфигурации

Драйвер репликации

Прикладной компонент 2

Изменения данных

Ядро СУБД

Табл.2

Табл. 1

Вычислительная установка 2

205 205

205

2. Технологии и системы репликации данных

Обеспечение непрерывности согласованного состояния данных

-Системы синхронной репликации -системы асинхронной репликации

-любая транзакция с любой рабочей станции сети осуществляется одновременно на всех репликах БД (фиксация транзакции производится только тогда, когда она успешно завершается одновременно на всех репликах системы) -применяются аналогично клиент-серверным системам протоколы осуществления и фиксации транзакций

-Снижение быстродействия обработки данных вследствие большого трафика данных в сети -«тупики» при осуществлении транзакций (как в клиент-серверных системах)

Режим синхронной репликации изменений данных

Проблемы и недостатки систем синхронной репликации

206 206

206

2. Технологии и системы репликации данных

Обеспечение непрерывности согласованного состояния данных

-транзакция на рабочих станциях осуществляются независимо друг от друга, в результате допускается текущая несогласованность состояния данных -через определенные интервалы (по специальному графику, по специальным командам, в определенном, например во внерабочее, время и т.д.) осуществляется синхронизация реплик БД -на рабочих станциях КС м. создаваться специальные хранилища данных репликации «накапливающие» изменения данных, поступающие с других рабочих станций

-не могут применяться в КС, с высокой динамикой изменения данных -в результате синхронизации реплик м. наблюдаться «потерянные изменения» при взаимном затирании изменений одних и тех объектов на разных репликах

Режим асинхронной репликации изменений данных

Проблемы и недостатки систем асинхронной репликации

207 207

207

2. Технологии и системы репликации данных

Обеспечение непрерывности согласованного состояния структуры данных

-Системы с «главной» репликой -системы с частичными репликами

-Одна из реплик объявляется «главной» и только на ней допускается изменение структуры данных (добавление/удаление таблиц, изменение схемы таблиц) -по принципу асинхронной репликации осуществляется тиражирование соответствующих изменений структуры данных по всем репликам системы

-в каждой локальной БД определяются перечень реплицируемых объектов, в результате локальные БД «одинаковы» только в определенной части -синхронизация реплик может осуществляется в синхронном и асинхронном (отложенном) режиме -могут создаваться распределенные КС с функционально обоснованной схемой ввода и тиражирования данных, например данные в таблицу «Документы» вводятся в реплике секретариата и тиражируются по всем репликам, находящихся в др. подразделениях, данные в таблицу «Сотрудники» - в реплике кадрового подразделения и т.д.

Системы с «главной» репликой

Системы с частичными репликами

208 Лекция 2.8. Политика и модели безопасности в распределенных КС

Лекция 2.8. Политика и модели безопасности в распределенных КС

Лекция 2.8.

Тема 2. Модели безопасности компьютерных систем

? Гайдамакин Н.А., 2008г.

ГОС 075200 «Компьютерная безопасность» ОПД.Ф.10 "Теоретические основы компьютерной безопасности"

Презентация предназначена для отработки и закрепления лекционного материала студентами группы КБ МатМех УрГУ. Распространение и передача презентации третьим лицам запрещается

209 209

209

Учебные вопросы:

1. Общие положения о политике безопасности в распределенных КС 2. Зональная модель безопасности в распределенных КС

210 210

210

Три аспекта распределенности (с т.зр. политики и субъектов обеспечения безопасности в КС)

распределенность защитных механизмов по программным модулям ядра системы (модули, реализующие идентификацию/аутентификацию, управление доступом, криптозащита) рапределенность информационного объекта, ассоциированного с МБО, содержащего установки политики безопасности в КС распределенность субъектов и объектов доступа КС по различным вычислительным установкам (физическая распределенность)

1. Общие положения о политике безопасности в распределенных КС

211 211

211

-нейтрализация угроз безопасности в процедурах идентификации/аутентификации с рабочих станций и при удаленном доступе пользователей АИС -нейтрализация угроз безопасности в линиях связи и телекоммуникациях -реализация политики привязки доступа пользователей с определенных рабочих станций, по определенному временному графику -защита вывода информации из БД на внешние носители данных, в т.ч. на рабочих станциях АИС -удаление остаточной информации на носителях при обработке данных на рабочих станциях -отношения доверия между сегментами (зонами) сети АИС -активный аудит действий пользователей

1. Общие положения о политике безопасности в распределенных КС

Дополнительные аспекты политики безопасности в распределенных АИС

212 212

212

Распределенные компьютерные системы

КС с распределенной архитектурой, разделяемые на два и более обособленных компонента, называемых локальными сегментами

Две разновидности

Система взаимодействующих лок. сегментов

Система- внешняя среда

Два направления

1. Общие положения о политике безопасности в распределенных КС

В основе 7-ми уровневая модель взаим-я откр. систем

Создание защитных механизмов, устойчивых как по отношению к внутренним, так и внешним угрозам

Синтез защитных механизмов от внешних угроз

213 213

213

Синтез защитных механизмов от внешних угроз - технологии межсетевого экранирования (анализ потока информации сетевого уровня – пакетов с уникальной информацией отправителя и получателя, и фильтрация по некоторым априорно-заданным критериям)

Создание защитных механизмов, устойчивых как по отношению к внутренним, так внешним угрозам - политика и модель безопасности системы взаимодействующих локальных сегментов

1. Общие положения о политике безопасности в распределенных КС

214 214

214

Обособление (идентификация) сегмента два подхода – по критерию локализации (субъектов и объектов) в рамках некоторой технической компоненты

– по критерию порождения одним общим процессом (z.b. Монитор транзакций)

– на основе единого адресного пространства, в котором любой сущности (субъекту или объекту) присваивается уникальный глобальный идентификатор, и разделения адресного пространства на области, образующие (выделяющие) локальные сегменты КС

Понятие локального сегмента

с т.зр. субъектно-объектной модели КС: обособленная совокупность субъектов и объектов доступа

1. Общие положения о политике безопасности в распределенных КС

215 215

215

Понятие доступа в субъектно-объектной модели КС – поток информации между объектами локализуемый через субъект (его ассоциированные объекты)

Удаленный доступ pout = Stream (sm , oi) ? oj

1. Общие положения о политике безопасности в распределенных КС

216 216

216

Доступ к объектам в две фазы – вхождение в сегмент -- «в свой» -- в доверяющий сегмент (удаленный доступ) – запрос и получение доступа по внутризональной политике доверяющего сегмента

Ядро

1. Общие положения о политике безопасности в распределенных КС

Ассоциированные объекты

Дополнительная политика инициализации субъектов удаленных доступов

217 217

217

Предприятие/объект

Зона инф. ресурсов

Арх. зона

Публ.зона (работа с клиентами)

Распределенная ИС с внутризональной и межзональной политикой безопасности

Для каждой зоны своя регламентация доступа/ вхождения сотрудников, др. лиц, перемещения документов

Определение 1. Зоной в распределенной ИВС называется совокупность подмножества пользователей U (u1, u2,…, uN) , подмножества объектов доступа O (o1, o2,…, oM) и подмножества физических объектов V(v1,v2,…, vL) , обособленных в локальный сегмент zk с отдельной (внутризональной) политикой безопасности

2. Зональная модель безопасности

Произв. зона

Складск. зона

218 218

218

Теоретико-множественная формализация зональной политики

Fphys : V? Z – значением функции z = fphys(v) является зона z ? Z, в которой находится (которой принадлежит) физический объект v ? V; fuser : U? Z – значением функции z = fuser(u) является зона z ? Z, в которой уполномочен (зарегистрирован) для работы пользователь u ? U; ffobject : O? V – значением функции v = ffobject(o) является физический объект v? V, в котором находится (физически размещается) объект o ?O.

Частичный порядок доверия на множестве зон (возможность удаленных доступов)

Одностороннее доверие: z1> z2 ? P outL(z1 ? z2) ? ? ? P outL(z1 ? z2) = ?

Двустороннее доверие: z1= z2 ? P outL(z1 ? z2) ? ? ? P outL(z1 ? z2) = ?

Отсутствие доверия: z1 ? z2 ? P outL(z1 ? z2) = ? ? P outL(z1 ? z2) = ?

2. Зональная модель безопасности

219 219

219

Примеры реализации общесетевой политики политики безопасности в распределенных КС (сетях) – модель безопасности Варадхараджана (Varadharadjan, 1990) для распределенной сети – доменно-групповая политика безопасности в сетях на основе Windows NT

Политика безопасности в распределенных КС

220 220

220

Двустороннего доверия – пользователи одного сегмента могут получать доступ к объектам другого сегмента и наоборот Одностороннего доверия – пользователи одного сегмента могут получать доступ к объектам другого сегмента, но наоборот нет

-Внутризональная политика безопасности -Межзональная политика безопасности (политика взаимодействия)

Политика безопасности в системе взаимодействующих сегментов

Политика взаимодействия

Внутр. пользователи лок. Сегмента 1

Внутр. пользователи лок. Сегмента 2

Политика безопасности в распределенных КС

Взаимодействие Безопасный канал связи

221 Лекция 3.1. Методы, критерии и шкалы оценки защищенности

Лекция 3.1. Методы, критерии и шкалы оценки защищенности

(безопасности).

Тема 3. Методы анализа и оценки защищенности компьютерных систем

? Гайдамакин Н.А., 2008г.

ГОС 075200 «Компьютерная безопасность» ОПД.Ф.10 "Теоретические основы компьютерной безопасности"

Презентация предназначена для отработки и закрепления лекционного материала студентами группы КБ МатМех УрГУ. Распространение и передача презентации третьим лицам запрещается

222 Учебные вопросы:

Учебные вопросы:

222

1. Общая характеристика измерения (оценки) эмпирических объектов 2. Показатели защищенности СВТ/СУБД и классификация АС/АИС по требованиям защиты от НСД к информации 3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Литература: 1. Гайдамакин Н.А. Разграничение доступа к информации в компьютерных системах. – Екатеринбург: изд-во Урал. Ун- та, 2003. – 328 с. 2. Смирнов С.Н. Безопасность систем баз данных. – М.: Гелиос-АРВ, 2007. – 352с. 3. Гайдамакин Н.А. Автоматизированные информационные системы, базы и банки данных. Вводный курс: Учебное пособие. – М.: Гелиос-АРВ, 2002. – 308с.

223 223

223

1. Общая характеристика измерения (оценки) эмпирических объектов

Физические (приборные) измерения

Внешние воздействия, случайная природа физ.процессов измерения

Погрешность измерения

Процесс (испытание, сравнение) по отношению с эталоном

Результат измерения (образ на шкале измерений)

Измерение

Шкала измерения S, R(si,sj)

Эмпирическое множество объектов с отношениями A, R(ai,aj)

Наблюдае-мые (физические)

Свойства/качества/признаки

Выбор шкалы (шкалирование)

Погрешность оценки

Модель объекта

Результат оценки (образ на шкале оценки)

Ненаблю- даемые

Эмпири-ческий объект

Оценка

Шкала оценки S, R(si,sj)

Исследование, вычисление (оценка)

Неполная (частичная) адекватность модели и шкалы

Полный или частичный гоморфизм

ai r aj

si r sj

224 224

224

1. Общая характеристика измерения (оценки) эмпирических объектов

Шкалы номинального (назывного) типа

-Только для различения объектов (z.B. Номера телефонов, автомобилей, коды городов, объектов и т.П.); -Не воспроизводят никаких отношений (порядка и т.Д.) Кроме отношений различия/эквивалентности (если ai ? aj , то si ? sj ; если ai ? aj , то si ? sj ); -могут применяться для классификации объектов (номера/идентификаторы классов – результаты классификационного шкалирования объектов)

Шкалы порядкового (рангового) типа

-воспроизводят отношения порядка (строгого) и эквивалентности (если ai ? aj , то si ? sj ); -обеспечивают упорядочение объектов по измеряемым (анализируемым/оцениваемым) свойствам (z.b. шкала твердости минералов Ф.Мооса, шкалы силы ветра, шкалы силы землетрясения, шкалы сортности товаров, шкалы оценки знаний); -результаты измерений/оценок не являются числами в полном смысле – не могут складываться, умножаться и т.д.); -из одной порядковой шкалы другая эквивалентная м.б. получена в результате монотонно-возрастающего преобразования

225 225

225

1. Общая характеристика измерения (оценки) эмпирических объектов

Шкалы интервалов

Шкалы отношений

-Воспроизводят только отношения степени сравнения эмп. Объектов (во сколько раз); результаты измерений при преобразованиях подобия f(x)=ax, a?0 сохраняют неизменными степени отношений объектов (примеры: шкалы измерения масс и длин предметов);

-Воспроизводят кроме отношений эквивалентности и порядка (больше/меньше), еще и отношения интервалов (сколько между объектами); результаты измерений при линейных преобразованиях сохраняют неизменными интервалы между объектами измерения

-соответственно одна шкала из другой м.б. получена путем линейного преобразования (z.b. шкалы температур Цельсия, Фаренгейта)

-Эквивалентные шкалы измерения отношений, получаемые одна из другой преобразованиям подобия имеют общую (нулевую) точку отсчета (примеры: шкалы измерения масс и длин предметов)

226 226

226

1. Общая характеристика измерения (оценки) эмпирических объектов

Шкалы разностей

-Как и шкалы интервалов воспроизводят отношения интервалов и (на сколько один объект превосходит по измеряемому свойству другой объект), но не выражают отношения степеней сравнения; результаты измерений при преобразованиях сдвига f(x)=x+b сохраняют неизменными разности измеряемых величин объектов (примеры: шкалы измерения масс и длин предметов); -эквивалентные шкалы измерения отношений получаются одна из другой преобразованиям сдвига (примеры: шкалы прироста продукции, шкалы увеличения численности чего-либо, шкалы летоисчисления)

Абсолютные шкалы

-характеризуют единственность отображения измеряемых объектов в определенную (естественную, абсолютную шкалу); -воспроизводят любые отношения между измеряемыми объектами (различия/эквивалентности, порядка, степени, интервалов, разности). Пример: - шкалы измерения количества объектов

227 227

227

1. Общая характеристика измерения (оценки) эмпирических объектов

Оценки (измерения) сложных объектов

228 228

228

Стандартизация

Стандарт

1. Стандартизация требований к архитектуре, функциям и критериям оценки подсистем безопасности в АИС

- Разработка и применение нормативно-технических и нормативно-методических документов в целях достижения упорядоченности в сферах разработки, производства и обращения изделий, продукции, строений, сооружений, систем, процессов, процедур, работ или услуг

- Нормативно-технический документ, содержащий требования и характеристики к объекту стандартизации

Цели стандартизации

- Повышение уровня безопасности жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества, экологической безопасности, безопасности жизни или здоровья животных и растений; - повышение уровня безопасности объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера; - обеспечение научно-технического прогресса; - повышение конкурентоспособности продукции, работ, услуг; - рациональное использование ресурсов; - обеспечение технической и информационной совместимости; - обеспечение сопоставимости результатов исследований (испытаний) и измерений, технических и экономико-статистических данных; - обеспечение взаимозаменяемости продукции.

229 229

229

Стандарты в сфере безопасности ИТ

1. Стандартизация требований к архитектуре, функциям и критериям оценки подсистем безопасности в АИС

По типу объекта стандартизации

- система (информационная, техническая, организационно-технологическая, аппаратная, криптографическая и т.д.) - ИТ-продукт - ИТ-технологии (в т.ч. процессы, процедуры)

По типу шкалы оценки соответствия требованиям стандарта

- На основе номинальной шкалы (соответствует/несоответствует) - на основе интервальной (количественной) шкалы (z.B. Вероятность обнаружения атаки ? 0,99) - на основе ранговой (качественной) шкалы (реализация требований на «отлично», «хорошо», «удовлетворительно»; защищенность высокая, средняя, низкая, незначительная)

В большинстве Стандартов защищенности используются номинально-ранговые шкалы (оценки)

230 230

230

Определяется шкала уровней (классов) защищенности

Для каждого уровня (класса) защищенности устанавливается набор требований к объекту оценки по соответствующей тематики

1. Стандартизация требований к архитектуре, функциям и критериям оценки подсистем безопасности в АИС

Общая схема стандартов и руководящих документов по функциональным требованиям к защищенным КС на основе номинально-ранговых оценок защищенности [безопасности]

Защищенность [безопасность]

231 231

231

Единая шкала оценки безопасности для производителей, потребителей и экспертов

История создания стандартов информационной (компьютерной) безопасности

1. Стандартизация требований к архитектуре, функциям и критериям оценки подсистем безопасности в АИС

1.Критерии оценки надежных компьютерных систем (Оранжевая книга), NCSC МО США, 1983г. (по сетям - 1987, по СУБД - 91) 2.Европейские критерии безопасности информационных технологий 1986г. (Гармонизированные критерии, 1991г.) (Франция, Германия, Голландия, Англия) 3.Руководящие документы Гостехкомиссии при России по защите от НСД к информации, 1992г. 4.Федеральные критерии безопасности информационных технологий, ANSI и АНБ США (1992г.) 5. Канадские критерии безопасности компьютерных систем (1993г.) 6.Единые критерии безопасности информационных технологий, NCSC и АНБ США, 1996г.

232 232

232

1. Стандартизация требований к архитектуре, функциям и критериям оценки подсистем безопасности в АИС

Порядок использования и применения стандартов защищенности [стандартов ИБ]

1.Определение (получение) функциональных требований к объекту разработки 2.Определение (получение) требований по уровню (классу) защищенности 3.Составление на основе ГОСТ 34.201-89 и соотв. Стандарта защищенности ТЗ на разработку 4.Разработка (создание) объекта и реализация требований к объекту 5.Оценка соответствия разработанного объекта установленным требованиям и получение сертификата защищенности по соотв. классу (уровню)

1.Потребность в объекте в защищенном исполнении (или в СЗИ) 2.Определение (по нормативным предписаниям или по решению руководителя) требуемого уровня (класса) защищенности 3.Заказ на разработку или приобретение готового объекта (продукта) с сертификатом безопасности по соответствующему классу (уровню) 4.Приемка объекта в эксплуатацию (при соотв. нормативных предписаниях аттестация объекта в защищенном исполнении)

1.Получение заявки на сертификацию по определенному классу защищенности 2.Определение по стандарту защищенности набора требований к объекту оценки 3.Разработка на основе ГОСТ 28195-89 и ГОСТ Р 51188-98 Программы испытаний (исследований) 4.Испытания (исследования) и вынесение решения о соответствии объекта заявленному уровню (классу) защищенности

233 233

233

Сфера действия стандартов ИБ (защищенности) АИС

Создание

Эксплуатация

Вывод из эксплуа- тации

1. Стандартизация требований к архитектуре, функциям и критериям оценки подсистем безопасности в АИС

Проектирование

Исполь- зование

Админи стиро- вание, сопро вожде- ние

Реализация проектных решений

Внедрение, ввод в эксплуатацию

Международный стандарт ISO/IEC 17799-2000. Информационные технологии. Свод правил по управлению защитой информации. BSI (Германский)

РД Гостехкомиссии по защите от НСД ГОСТ Р ИСО/МЭК 15408-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.

234 234

234

В основе РД от НСД – методология TCSEC (Оранжевая книга)

2. Показатели защищенности СВТ/СУБД и классификация АС/АИС по требованиям защиты от НСД к информации

Самый высокий уровень защиты

В полном объеме

Средний уровень защиты

Низкий уровень защиты

Незащищенные системы

235 235

235

СВТ - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем

2. Показатели защищенности СВТ/СУБД и классификация АС/АИС по требованиям защиты от НСД к информации

Схема РД ГосТехКомиссии России. СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации

"Секретно", или собственность государства - не ниже 4-го класса

в т.ч. общесистемные программные средства, СУБД и ОС с учетом архитектуры ЭВМ

7-классов защищенности в 4 группы по принципу разграничения доступа

236 236

236

2. Показатели защищенности СВТ/СУБД и классификация АС/АИС по требованиям защиты от НСД к информации

Структура функциональных требований по защите от НСД к СВТ

Система защиты от НСД к информации в СВТ (подсистемы и функциональные требования) ГОСТ Р 50739-95

237 237

237

2. Показатели защищенности СВТ/СУБД и классификация АС/АИС по требованиям защиты от НСД к информации

Структура требований по классам защищенности СВТ

238 238

238

2. Показатели защищенности СВТ/СУБД и классификация АС/АИС по требованиям защиты от НСД к информации

Схема групп и классов защищенности АС от НСД

«Гостайна", или собственность государства - не ниже 3А, 2А, 1А (для 1А с СВТ не ниже 2кл.), 1Б (с СВТ не ниже 3 кл.), 1В (с СВТ не ниже 4-го кл.)

Многопользовательские АС с информацией различного уровня конфиденциальности и различным уровнем полномочий пользователей

Однопользовательские АС с информацией одного уровня конфиденциальности

Многопользовательские АС с информацией различного уровня конфиденциальности и одинако- вым уровнем полномочий пользователей

239 239

239

2. Показатели защищенности СВТ/СУБД и классификация АС/АИС по требованиям защиты от НСД к информации

Система защиты от НСД к информации в АС (подсистемы и функциональные требования) ГОСТ Р 51583-2000, РД ГосТехКомиссии. АС. Защита от НСД к информации. Классификация АС и требования по защите информации

240 240

240

Третья группа

2. Показатели защищенности СВТ/СУБД и классификация АС/АИС по требованиям защиты от НСД к информации

Общая характеристика классов защищенности АС

241 241

241

Вторая группа

2. Показатели защищенности СВТ/СУБД и классификация АС/АИС по требованиям защиты от НСД к информации

Общая характеристика классов защищенности АС

242 242

242

Первая группа

2. Показатели защищенности СВТ/СУБД и классификация АС/АИС по требованиям защиты от НСД к информации

Общая характеристика классов защищенности АС

243 243

243

Первая группа

2. Показатели защищенности СВТ/СУБД и классификация АС/АИС по требованиям защиты от НСД к информации

Общая характеристика классов защищенности АС

244 244

244

История создания «Общих критериев»

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

1.1990г. начало разработки Раб.гр. 3 Подкомитета 27 Первого технического комитета (JTCI|SC27|WG3) Международной организации по стандартизации (ISO) «Критериев оценки безопасности информационных технологий» (Eva-luation Criteria for IT Security, ECITS) в качестве международного стандарта 2.1993г. начало совместной разработки правительственными организациями Канады, США, Великобритании, Германии, Нидерландов и Франции межгосударственного стандарта «Общие критерии оценки безопасности информационных технологий» (Common Criteria for IT Security Evaluation), т.н. «Общие критерии», иди ОК (Common Criteria) 3.1998г. опубликование и широкое открытое обсуждение версии 2.0 ОК и ее принятие в августе 1999г. 4.Принятие и введение в действие с 1 декабря 1999г. Международного стандарта ISO/IEC 15408 Information technology – Security techniques – Evaluation Criteria for IT Security в 3-х частях: - Part 1: Introduction and general model. – ISO/IEC 15408-1.1999 - Part 2: Security functional requirements. – ISO/IEC 15408-2.1999 - Part 3: Security assurance requirements. – ISO/IEC 15408-3/1999 5.Принятие в 2002г. ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий» на основе идентичного перевода ISO/IEC 15408-1999 с датой введения с 1 января 2004г. 6.2002г. Принятие Руководящего документа ГосТехКомиссии России «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» на основе идентичного текста ГОСТ Р ИСО/МЭК 15408-2002

245 245

245

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Общая характеристика «Общих критериев»

1. Регламентирует процессы создания и оценки (сертификации) изделий ИТ по требованиям безопасности 2.Объектом оценки (ОО) является продукт ИТ (совокупность средств ИТ, предоставляющих определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы) или система ИТ (специфическое воплощение информационных технологий с конкретным назначением и условиями эксплуатации) 3. Рассматривает ОО в контексте всех аспектов среды безопасности, которая в идеологии ОК включает: -законодательную среду (затрагивающую ОО) -административную среду (положения политик и программ безопасности, затрагивающие ОО) -процедурно-технологическую среду (физ.среда, в т.ч. меры физической защиты, персонал и его свойства, эксплуатационные и иные процедуры, связанные с ОО) -программно-техническую среду (в которой функционирует ОО и его защищаемые активы) 4. Устанавливает следующую структуру описания аспектов среды безопасности при задании требований безопасности к объекту ОО и его оценки: - предположения безопасности (выделяют ОО из общего контекста, задают границы рассмотрения) - угрозы безопасности (те, ущерб от которых нуждается в уменьшении, по схеме: источник, метод воздействия, используемые уязвимости, ресурсы-активы на которые направлены) - положения политики безопасности (в совокупности с предположениями безопасности устанавливают точно для системы ИТ или в общих чертах для продукта ИТ все другие аспекты среды безопасности)

246 246

246

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Общая характеристика «Общих критериев»

Виды требований безопасности к продуктам и системам ИТ

Порядок установления требований безопасности к продуктам и системам ИТ

Каталог (библиотека) требований ко всем возможным видам продуктов или систем ИТ (ч.2 ОК)

Профили защиты для конкретных видов изделий ИТ- ОС, СУБД, МЭ и т.д (подлежат сертификации)

Задание по безопасности при создании изделия ИТ (является ОО наряду с самим ОО при сертификации ОО)

5. Регламентирует виды и порядок установления требований безопасности к изделиям ИТ, порядок и структуру требований к оценки реализации установленных требований

247 247

247

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Общая характеристика «Общих критериев»

6. Регламентирует структуру и виды установления требований безопасности к изделиям ИТ, порядок и структуру требований к оценки реализации установленных требований в идеологии степени доверия на основе ранговой шкалы оценки к реализации требований по безопасности Устанавливается 7 уровней доверия (7-й – наивысший). Сертификаты с 1-го по 4-й признаются всеми странами-участниками «Клуба ИСО 15408». Сертификаты 5-го-7-го уровней требуют подтверждения в национальных системах сертификации. 7.На основе утвержденных ПЗ разрабатываются (создаются) продукты ИТ и оцениваются на соответствие требованиям безопасности. Оценка производится на основе применения т.н. оценочных уровней доверия (ОУД – ОУД1, ОУД2,…,ОУД7)), представленных в стандарте. ОУД включают методы и содержание процедур по оценки объектов: ОУД1 – предусматривает функциональное тестирование ОУД2 – предусматривает структурное тестирование ОУД3 – предусматривает методическое тестирование и проверку ОУД4 – предусматривает методическое проектирование, тестирование и просмотр ОУД5 – предусматривает полуформальное проектирование и тестирование ОУД6 – предусматривает полуформальную верификацию проекта и тестирование ОУД7 – предусматривает формальную верификацию проекта и тестирование Содержание требований по ОУД основывается на совокупности т.н. компонент доверия, объединяемых в 4 семейства гарантированности, из которых, в свою очередь, складываются 7 классов гарантированности (гарантированность по управлению конфигурацией, по поставкам и эксплуатации, по разработке, по руководствам, по поддержке жизненного цикла, по тестированию, по оценке уязвимостей)

248 248

248

Иерархическая структура функциональных требований безопасности ИТ (ГОСТ Р ИСО/МЭК 15408-2002. Ч.2)

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

11 классов, в каждом классе от 2-х до 16-ти семейств

249 249

249

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

250 250

250

Иерархическая структура функциональных требований безопасности ИТ (ГОСТ Р ИСО/МЭК 15408-2002. Ч.2)

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

8. Выделяют: -классы, соответствующие элементарным сервисам безопасности (FAU-аудит безопасности, FIA-идентификация/аутентификация, FRU-использование ресурсов) -производные классы, реализуемые на основе элементарных (FCO-связь, FPR-приватность) -классы, направленные на достижение высокоуровневых целей безопасности (FDP-защита данных пользователя, FPT-защита функций безопасности ОО) -классы, играющие инфраструктурную роль (FCS-криптографическая поддержка, FMT-управление безопасностью, FTA-доступ к ОО, FTP-доверенный маршрут-канал) 9. Функциональные компоненты м.б. самодостаточными или нуждаться в привлечении других компонент, что отражается в связях между компонентами. Включение в ПЗ компонента требует включения и компонент по установленным зависимостям

251 251

251

Классы функциональных требований безопасности ИТ (ГОСТ Р ИСО/МЭК 15408-2002. Ч.2)

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Отказоустойчивость (FRU_FLT) Приоритет обслуживания (FRU_PRS) Распределение ресурсов (FRU_RSA)

Доверенный канал передачи между ФБО (FTP_ITC) Доверенный маршрут (FTP_TRP)

Класс FAU. Аудит безопасности (6 семейств)

Класс FCO. Связь (2 семейства)

Автоматическая реакция аудита безопасности (FAU_ARP) Генерация данных аудита безопасности (FAU_GEN) Анализ аудита безопасности (FAU_SAA) Просмотр аудита безопасности (FAU_SAR) Выбор событий аудита безопасности (FAU_SEL) Хранение данных аудита безопасности (FAU_STG)

Класс FCS. Криптографическая поддержка (2 семейства)

Неотказуемость отправления (FCO_NRO) Неотказуемость получения (FCO_NRR)

Класс FDP. Защита данных пользователя (13 семейств)

Управление криптографическими ключами (FCS_CKM) Криптографические операции (FCS_COP)

Класс FIA. Идентификация и аутентификация (6 семейств)

Ограничение области выбираемых атрибутов (FTA_LSA) Ограничение на параллельные сеансы (FTA_MCS) Блокирование сеанса (FTA_SSL) Предупреждения перед предоставлением доступа к ОО (FTA_TAB) История доступа к ОО (FTA_TAH) Открытие сеанса с ОО (FTA_TSE)

Класс FMT. Управление безопасностью (6 семейств)

Отказы аутентификации (FIA_AFL) Определение атрибутов пользователя (FIA_ATD) Спецификация секретов (FIA_SOS) Аутентификация пользователя (FIA_UAU) Идентификация пользователя (FIA_UID) Связывание пользователь-субъект (FIA_USB)

Класс FPR. Приватность (4 семейства)

Управление отдельными функциями ФБО (FMT_MOF) Управление атрибутами безопасности (FMT_MSA) Управление данными ФБО (FMT_MTD) Отмена (FMT_REV) Срок действия атрибута безопасности (FMT_SAE) Роли управления безопасностью (FMT_SMR)

Класс FPT. Защита функций безопасности объекта (16 семейств)

Анонимность (FPR_ANO) Псевдонимность (FPR_PSE) Невозможность ассоциации (FPR_UNL) Скрытность (FPR_UNO)

Класс FRU. Использование ресурсов (3 семейства)

Класс FTA. Доступ к ОО (6 семейств)

Класс FTP. Доверенный маршрут / канал (2 семейства)

Политика управления доступом (FDP_ACC) Функции управления доступом (FDP_ACF) Аутентификация данных (FDP_DAU) Экспорт данных за пределы действия ФБО (FDP_ETC) Политика управления информационными потоками (FDP_IFC) Функции управления информационными потоками (FDP_IFF) Импорт данных из-за пределов действия ФБО (FDP_ITC) Передача в пределах ОО (FDP_ITT) Защита остаточной информации (FDP_RIP) Откат (FDP_ROL) Целостность хранимых данных (FDP_SDI) Защита конфиденциальности данных пользователя при передаче между ФБО (FDP_UCT) Защита целостности данных пользователя при передаче между ФБО (FDP_UIT)

Тестирование базовой абстрактной машины (FPT_AMT) Безопасность при сбое (FPT_FLS) Доступность экспортируемых данных ФБО (FPT_ITA) Конфиденциальность экспортируемых данных ФБО (FPT_ITC) Целостность экспортируемых данных ФБО (FPT_ITI) Передача данных ФБО в пределах ОО (FPT_ITT) Физическая защита ФБО (FPT_PHP) Надежное восстановление (FPT_RCV) Обнаружение повторного использования (FPT_RPL) Посредничество при обращениях (FPT_RVM) Разделение домена (FPT_SEP) Протокол синхронизации состояний (FPT_SSP) Метки времени (FPT_STM) Согласованность данных ФБО между ФБО (FPT_TDC) Согласованность данных ФБО при дублировании в пределах ОО (FPT_TRC) Самотестирование ФБО (FPT_TST)

252 252

252

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Классификация изделий ИТ, функциональные пакеты ТБ

Изделия ИТ

Операционные системы

Субд

Мэ

Одноуровневые ОС

Многоуровневые ОС

ОС реального времени

- для каждого типа изделий ИТ формируется семейство профилей защиты

- для каждого типа (семейства профилей защиты) из всего полного каталога ФТБ (ч.2 ОК) формируется базовый функцио-нальный пакет требований безопасности (БФПТБ семейства)

- для каждой группы из БФПТБ семейства с дополнением ФТБ из общего каталога ФТБ (ч.2 ОК) формируется функциональный пакет требований безопасности группы (ФПТБ группы) - БФПТБ семейства ? ФПТБ группы

Исходя из специфики целей применения, особен-ностей конфигурации, технологии обработки информации и др.

253 253

253

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Классы защищенности и пакеты требований доверия без-ти

Ценность защищаемых активов (информации)

Класс защищенности 1

Класс защищенности 2

Класс защищенности 3

Класс защищенности 4

Базовый пакет доверия класса 1

Базовый пакет доверия класса 2

Базовый пакет доверия класса 3

Базовый пакет доверия класса 4

254 254

254

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Формирование функциональных требований безопасности и требований доверия к безопасности при разработке Профиля защиты

Общая схема формирования требований безопасности к изделиям и системам ИТ

255 255

255

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Общая схема формирования Профиля защиты

256 256

256

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Организационный порядок разработки профиля защиты

257 257

257

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Структура и содержание Профиля защиты

1. Введение 1.1. Идентификация ПЗ 1.2. Аннотация ПЗ 2. Описание изделия ИТ 3. Среда безопасности изделия ИТ 3.1. Предположения безопасности 3.2. Угрозы 3.3. Политика безопасности организации 4. Цели безопасности 4.1. Цели безопасности для изделия ИТ 4.2. Цели безопасности для среды изделия ИТ 5. Требования безопасности изделия ИТ 5.1. Функциональные требования безопасности изделия ИТ 5.2. Требования доверия к безопасности изделия ИТ 5.3. Требования безопасности для среды изделия ИТ 6. Замечания по применению (необязательный) 7. Обоснование 7.1. Обоснование целей безопасности 7.2. Обоснование требований безопасности

258 258

258

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Структура и содержание профиля защиты

1. Введение 1.1.Идентификация ПЗ а) ключевые слова; б) оценочный уровень доверия (ОУД), если он применяется в ПЗ; в) утверждение о соответствии версии ОК; г) состояние оценки ПЗ. 1.2.Анотация ПЗ резюме по высокоуровневому обзору проблемы безопасности, которая подлежит решению в ПЗ, и краткий обзор ее решения в ПЗ Профили защиты, с которыми связан рассматриваемый профиль, и другие документы, на которые ссылается (необязательный подраздел) Структура и организация профиля защиты (необязательный подраздел) 2. Описание изделия ИТ а) тип продукта ИТ; б) основные функциональные возможности ОО; в) границы ОО (необязательная информация); г) среда функционирования ОО (необязательная информация).

259 259

259

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Структура и содержание профиля защиты

3. Среда безопасности изделия ИТ 3.1. Предположения безопасности а) предположения относительно предопределенного использования изделия ИТ; б) предположения, связанные с защитой любой части изделия ИТ со стороны среды (например, физическая защита); в) предположения связности (например, межсетевой экран должен быть единственным сетевым соединением между частной (защищаемой) и внешней (потенциально враждебной) сетью); г) предположения, имеющие отношение к персоналу (например, предполагаемые пользовательские роли, основные обязанности (ответственность) пользователей и степень доверия этим пользователям). 3.2. Угрозы идентификация угроз (идентификация защищаемых активов, источников угроз, методов нападения) спецификация угроз по соответствующим идентифицированным аспектам 3.3. Политика безопасности организации совокупность правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности а) идентификация применяемых правил управления информационными потоками; б) идентификация применяемых правил управления доступом; в) определение правил ПБОр для аудита безопасности; г) решения, предписанные организацией, например, использование определенных криптографических алгоритмов или следование определенным стандартам.

Каждое предположение, угроза, правило ПБОр д. иметь уникальную метку

260 260

260

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Структура и содержание профиля защиты

4. Цели безопасности 4.1. Цели безопасности для изделия ИТ (ответственность за противостояние угрозам и следование ПБОр, промежуточный этап формирования требований безопасности ИТ) Три типа целей безопасности для ОО: а) цели предупредительного характера, направленные либо на предотвращение реализации угроз, либо на перекрытие возможных путей реализации данных угроз; б) цели обнаружения, определяющие способы обнаружения и постоянного мониторинга событий, оказывающих влияние на безопасное функционирование ОО; в) цели реагирования, определяющие необходимость каких-либо действий ОО в ответ на потенциальные нарушения безопасности или другие нежелательные события, с целью сохранения или возврата ОО в безопасное состояние и/или ограничения размера причиненного ущерба. Требования: а) учет каждой идентифицированной угрозы, направленной против изделия ИТ, по крайней мере, одной целью безопасности для изделия ИТ; б) учет каждого правила идентифицированной ПБОр, которому должно удовлетворять изделие ИТ, по крайней мере, одной целью безопасности для изделия ИТ 4.2. Цели безопасности для среды изделия ИТ (ответст-ть за достиж-е которых возлаг-ся на ИТ-среду, а также связанные с реализацией в пределах среды функцион-я изделия ИТ организационных и других нетехнических мер) а) противостояние угрозам (или отд-м аспектам угроз), которым изд-е ИТ не против-т; б) поддержку реализации правил ПБОр, которые не удовлетворены или не полностью удовлетворены изделием ИТ; в) поддержку идентифицированных целей безопасности для изделия ИТ в плане противостояния угрозам и реализации соответствующих правил ПБОр; г) поддержку идентифицированных предположений о среде.

261 261

261

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Структура и содержание профиля защиты

5. Требования безопасности изделия ИТ 5.1. Функциональные требования безопасности изделия ИТ Определяют требования для функций безопасности, обеспечивающих достижение целей безопасности для изделия ИТ Выбирают из ч.2 ОК, при наличии из ФПТБ группы Различают (необязательно) следующие два типа ФТБ: а) основные ФТБ, непосредственно удовлетворяющие конкретные цели безопасности для изделия ИТ; б) поддерживающие ФТБ, не предназначенные для непосредственного удовлетворения целей безопасности для изделия ИТ, но способствующие выполнению основных ФТБ и, тем самым, косвенным образом способствующие удовлетворению целей безопасности для изделия ИТ. 5.2. Требования доверия к безопасности изделия ИТ Определяют требуемый уровень уверенности в надлежащей реализации ФТБ. Выбираются из ч.3 ОК, БПДК в зависимости от: а) ценности активов, подлежащих защите, и осознаваемого риска их компрометации; б) технической реализуемости; в) стоимости разработки и оценки; г) требуемого времени для разработки и оценки изделия ИТ; д) требований рынка (для продуктов ИТ); е) зависимостей функциональных компонентов и компонентов доверия к безопасности. 5.3. Требования безопасности для среды изделия ИТ определяют функциональные требования и требования доверия к безопасности, выполнение которых возлагается на ИТ-среду (то есть, на внешние по отношению к изделию ИТ аппаратные, программные или программно-аппаратные средства) с тем, чтобы обеспечить достижение целей безопасности для изделия ИТ

262 262

262

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Структура и содержание профиля защиты

7. Обоснование 7.1. Обоснование целей безопасности Демонстрация соответствия целей безопасности идентифицированным угрозам может быть выполнена следующим образом: а) в виде таблицы, показывающей, какие цели безопасности каким угрозам соответствуют (например, угрозе Т3 соответствует цель О3); при этом необходимо обеспечить соответствие каждой цели безопасности, по крайней мере, одной угрозе; б) логическим обоснованием того, что цели безопасности противостоят угрозам 7.2. Обоснование требований безопасности Демонстрацию соответствия ФТБ целям безопасности для ОО можно представить следующим образом: а) в виде таблицы, показывающей, какие ФТБ какие цели безопасности удовлетворяют (например, компоненты FRU_RSA.1 и FTP_MCS.1 соответствуют цели безопасности O3), при этом необходимо обеспечить соответствие каждого ФТБ, по крайней мере, одной цели безопасности; б) логическим обоснованием соответствия ФТБ целям безопасности.

263 263

263

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Пример разделов ПЗ СУБД

264 264

264

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Пример разделов ПЗ СУБД

265 265

265

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Пример разделов ПЗ СУБД

266 266

266

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Пример разделов ПЗ СУБД

267 267

267

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Пример разделов ПЗ СУБД

268 268

268

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Пример разделов ПЗ СУБД

269 269

269

3. Критерии оценки безопасности информационных технологий. Профили защиты СУБД

Пример разделов ПЗ СУБД

270 Лекция 3.2. Теоретико-графовые модели комплексной оценки защищенности

Лекция 3.2. Теоретико-графовые модели комплексной оценки защищенности

КС.

Тема 3. Методы анализа и оценки защищенности компьютерных систем

? Гайдамакин Н.А., 2008г.

ГОС 075200 «Компьютерная безопасность» ОПД.Ф.10 "Теоретические основы компьютерной безопасности"

Презентация предназначена для отработки и закрепления лекционного материала студентами группы КБ МатМех УрГУ. Распространение и передача презентации третьим лицам запрещается

271 271

271

КС представляется трехдольным графом G(P,O,Z,E,H):

Специфицируют политику комплексного использования и применения защитных механизмов и анализа защищенности КС на основе теоретико-графового подхода

Модель системы с полным перекрытием – на каждую угрозу есть нейтрализующее СЗИ

1. Модели комплексной оценки защищенности КС

272 272

272

Каждое ребро графа G(P,O,Z,E,H) специфицирует воздействие конкретной угрозы на конкретный объект

От каждой угрозы м.б. несколько воздействий на различные объекты и каждый объект м.б. подвергнут нескольким угрозам (связь "многие-ко-многим")

Граф G(P,O,Z,E,H) взвешенный. Веса вершин и ребер м. определять: - величину ущерба от реализации угроз - или вероятность осуществления угроз

Выбор защитных механизмов осуществляется так, чтобы: - редуцируя граф, устранить наиболее опасные угрозы - или изменить веса ei с тем, чтобы минимизировать поток угроз на основе тех или иных критериев

1. Модели комплексной оценки защищенности КС

273 273

273

Граф G(P,O,Z,E,H) является взвешенным и эквивалентно представляется следующей совокупностью векторов и матриц: вектор P(p1, p2 ,… pN ), где pi – вероятность осуществления соотв.угрозы; вектор O(o1, o2 ,… oL ), где oi – стоимость соотв. объекта защиты; NXL матрица Е{ei,j}, где ei,j =1 при воздействии i-й угрозы на j-й объект, и = 0 в противном случае; вектор Z(z1, z2 ,… zM ), где zi – стоимость соотв.способа или средства защиты; NXM матрица H{hi,j}, где hi,j – вероятность устранения (или степень снижения ущерба) i-й угрозы от применения j-го средства защиты

Области применения теоретико-графовых моделей

Технико-экономическое обоснование систем обеспечения безопасности

Ущерб безопасности без использования СЗИ

Ущерб безопасности при использования СЗИ

1. Модели комплексной оценки защищенности КС

274 274

274

Тактико-техническое обоснование систем обеспечения безопасности

Другие задачи

1. Модели комплексной оценки защищенности КС

275 275

275

Этапы: Идентификация и оценка ценности объектов защиты Формирование перечня угроз и оценка их опасностей (вероятностей) Формирование перечня СЗИ – базового уровня защиты с учетом имеющихся нормативных требований Вычисление ущерба с учетом применения СЗИ и оценка остаточного риска, как правило, в ранговой шкале: остаточный риск незначительный остаточный риск приемлемый остаточный риск высокий остаточный риск неприемлемый 5. Формирование дополнительных мер защиты и СЗИ для достижения приемлемого риска

Оценка рисков нарушения ИБ

1. Модели комплексной оценки защищенности КС

276 276

276

1.Идентификация и оценка ценности объектов защиты

1.1.Формирование полного перечня объектов защиты- на основе видового дерева

1.2.Определение ценности объектов защиты

в большинстве методик на основе материальной стоимости и ущерба от их разрушения, НСД и т.д.

1. Модели комплексной оценки защищенности КС

277 277

277

2.Идентификация угроз и оценка их вероятности

2.1. Формирование перечня угроз и оценка их опасностей – также на основе видового дерева

Герм. стандарт BSI

Отеч. ГОСТ Р 51275-99

2.2.Определение опасности или вероятностей угроз

В большинстве методик на основе экспертных оценок и анализа имеющейся статистики

1. Модели комплексной оценки защищенности КС

278 278

278

3. Формирование перечня и системы СЗИ

3.1. На основе стандартов и РД по защищенности КС

1. Модели комплексной оценки защищенности КС

279 279

279

В развитие методологии данного подхода в 80-х годах за рубежом были разработаны подходы к комплексной оценки защищенности КС, закрепленные в соответствующих национальных стандартах: · британском стандарте BS 7799 (ISO 17799) – Великобритания; · ведомственном стандарте NASA США "Безопасность информационных технологий" (http://esdis.dsfo.nasa.gov); · германском стандарте "BSI" (http://www.bsi.bund.de/.

Стандарты комплексной оценки защищенности КС

1. Модели комплексной оценки защищенности КС

280 280

280

· COBRA, разработчик C&A Systems Security Ltd (http://www.securityauditor.net); · RiskPAC, разработчик CSCI (http://www.csciweb.com); · CRAMM, разработчик Logica (Великобритания); · MARION, разработчик CLUSIF (Франция); · RiskWatch (http://www.riskwatch.com); · АванГард (Россия) · Гриф (Россия)

Case-средства комплексной оценки защищенности

1. Модели комплексной оценки защищенности КС

281 Лекция 3.3. Методы анализа и оптимизации индивидуально-групповых

Лекция 3.3. Методы анализа и оптимизации индивидуально-групповых

систем разграничения доступа.

Тема 3. Методы анализа и оценки защищенности компьютерных систем

? Гайдамакин Н.А., 2008г.

ГОС 075200 «Компьютерная безопасность» ОПД.Ф.10 "Теоретические основы компьютерной безопасности"

Презентация предназначена для отработки и закрепления лекционного материала студентами группы КБ МатМех УрГУ. Распространение и передача презентации третьим лицам запрещается

282 282

282

Двудольный граф требуемых назначений доступа Г(U,O,E)

Ei={r1, r2,…, rk} ri= i-й метод доступа; ri=1 – доступ разрешен; ri=0 – доступ не разрешен; ri= -1 – доступ запрещен

Множество вершин U одной доли графа — субъекты доступа Множество вершин O другой доли графа — объекты доступа Множество ребер (дуг) Eтреб — требуемые назначения доступа субъектов к объектам

Eтреб

1. Теоретико-графовая модель систем индивидуально-группового доступа к иерархически организованным информационным ресурсам

283 283

283

Граф назначений доступа Г(U,O,E) при иерархической организации системы объектов доступа

Eитог= eпр ? eнасл

2). Вариативность наделения субъектов доступа Eтреб за счет различного сочетания Eпр и Eнасл

1. Теоретико-графовая модель систем индивидуально-группового доступа к иерархически организованным информационным ресурсам

284 284

284

Граф индивидуально-групповых назначений доступа Г(U,G,O,E) при иерархической организации системы объектов доступа

Eитог= eи ? eг = (eипр ? eинасл ) ? ((eгпр ? eгг ) ? eгнасл )

2). Дополнительная вариативность наделения субъектов доступа Eтреб за счет различного сочетания Eи и Eг

1. Теоретико-графовая модель систем индивидуально-группового доступа к иерархически организованным информационным ресурсам

285 285

285

Матричное представление графа Г(U,G,O,E)

Rи – (NxMxK)-массив разрешенных для субъектов методов доступа к объектам по индивидуальным назначениям; Rг – (LxMxK)-массив разрешенных рабочим группам методов доступа к объектам по непосредственным групповым назначениям; Н – квадратная (MxM) матрица смежности объектов доступа; Нг – квадратная (LxL) матрица смежности рабочих групп, аналогичная по смыслу матрице Н (hгij=1, если i-я рабочая группа содержит j-ю рабочую групп, hгij=0, если не содержит); W – прямоугольная (NxL) матрица вхождения пользователей в рабочие группы (wij=1, если i-й пользователь входит в состав j-й рабочей группы; wij=0, в противном случае)

1. Теоретико-графовая модель систем индивидуально-группового доступа к иерархически организованным информационным ресурсам

286 286

286

Сочетание прав доступа по прямым назначениям и прав доступа по иерархическому наследованию

Политика простой суперпозиции (дизъюнкции) прав по прямым и наследственным назначениям: rij = {rij1|пр ? rij1|насл , rij2|пр ? rij2|насл , …, rijk|пр ? rijk|насл}

Политика приоритетной суперпозиции (дизъюнкции) прав по прямым и наследственным назначениям с приоритетом прямых назначений rij = {rij1|пр ? rij1|насл , rij2|пр ? rij2|насл , …, rijk|пр ? rijk|насл}

Политика фильтрационной суперпозиции прав доступа к вложенным объектам rij = {rij1|пр ? (rij1|насл·?фij1), rij2|пр ? (rij2|насл·?фij2),…, rijk|пр ? (rijk|насл·?фijk)}

1. Теоретико-графовая модель систем индивидуально-группового доступа к иерархически организованным информационным ресурсам

287 287

287

Определение итоговых прав доступа при приоритетной суперпозиции с учетом структурной вложенности объектов

По спискам доступа

через матрицу смежности объектов доступа Н Rk|итог = Rk|пр ? (НS + I), где НS=Н + Н2 +…+ Нn , ? - модифицированная операция матричного умножения на основе ассиметричной дизъюнкции: (Rk|итог)ij=ri1k(hS1jk+?1j) ? ri2k(hS2jk+?2j) ? … ? riMk(hSMjk+ ?Mj) , I – единичная матрица; ?ij – символ Кронекера

1. Теоретико-графовая модель систем индивидуально-группового доступа к иерархически организованным информационным ресурсам

288 288

288

Определение итоговых прав доступа рабочих групп при приоритетной суперпозиции с учетом структурной вложенности рабочих групп и объектов

Rгk|итог=W?(((НгS+I)т?Rгk )?(НS +I))

Определение итоговых индивидуально-групповых прав доступа с приоритетом индивидуальных назначений

Коэффициент дублирования прав доступа

kиijk= (Rиk|пр ? (НS + I))ij

1. Теоретико-графовая модель систем индивидуально-группового доступа к иерархически организованным информационным ресурсам

Rигk|итог=Rиk|итог? Rгk|итог= = (Rk|пр? (НS+I)) ? (W?(((НгS+I)т?Rгk) ? (НS +I)))

K гk=W?(((НгS+I)т?Rгk)?(НS+I))

289 289

289

Количественные параметры превышения и недостатка прав доступа

R+? = rигитог ?+ rтреб R-? = rигитог ?- rтреб

1. Теоретико-графовая модель систем индивидуально-группового доступа к иерархически организованным информационным ресурсам

290 290

290

Количественные характеристики системы рабочих групп

Количественные характеристики близости пользователей по потребностям в доступе

1. Теоретико-графовая модель систем индивидуально-группового доступа к иерархически организованным информационным ресурсам

291 291

291

1. Теоретико-графовая модель систем индивидуально-группового доступа к иерархически организованным информационным ресурсам

Пример количественного анализа системы индивидуально-группового доступа

Главный бухгалтер (u1) – общее руководство подразделением, планирование, контроль деятельности. Старший бухгалтер (u2) – ведение обобщенного (сводного) финансово-экономического учета и анализа, заме-щение в случае необходимости гл.бух- галтера (отпуск, болезнь, командировка). Бухгалтер (первый) (u4) – бухгалтер-экономист, подменяет ст. бухгалтера. Бухгалтер (второй) (u5) – бухгалтер по заработной плате, подменяет (первого) бухгалтера и кассира. Кассир (u6) – проводки по кассе, выдача зарплаты, подменяет табельщика-делопроизводителя и (второго) бухгалтера. Табельщик-делопроизводитель (u7) – ведение Табеля рабочего времени сотрудников организации, а также ведение делопроизводства подразделения. Инженер-программист (u3) –организация работы локальной информационной сети подразделения

292 292

292

1. Теоретико-графовая модель систем индивидуально-группового доступа к иерархически организованным информационным ресурсам

Пример количественного анализа системы индивидуально-группового доступа

Система рабочих групп Группа "Администраторы" (g1) – включает {u1, u3}. Группа "Бухгалтеры" (g2) – включает {u1, u2, u4, u5, u6}. Группа "Исполнители документов" (g3) , включает {u1, u2, u3, u4, u5, u6, u7}. Группа "Users" (g4) – включает {u1, u2, u3, u4, u5, u6, u7, g2, g3}. Права доступа определяются разрешениями по четырем методам доступа – r1 (чтение), r2 (чтение/запись), r3 (выполнение) и r4 (полный доступ). Функция fкорр обеспечивает в векторах обнуление r1, если r2=1; обнуление r1, r2, r3, если r4=1; требует r1=1 в |насл, если r3=1.

293 293

293

Клиент-серверная финансово-экономическая АИС (ФЭБД) Клиент-серверная АИС делопроизводства/документооборота (ДокБД) Клиент-серверная информационно-правовая система (НормБД) Локальная АИС "Табель рабочего времени" (БД "Табель") Локальная АИС "Планирование и контроль" (БД "Расписание")

1. Теоретико-графовая модель систем индивидуально-группового доступа к иерархически организованным информационным ресурсам

Пример количественного анализа системы индивидуально-группового доступа

294 294

294

1. Теоретико-графовая модель систем индивидуально-группового доступа к иерархически организованным информационным ресурсам

Пример количественного анализа системы индивидуально-группового доступа

Групповые назначения g1 – полный доступ к объектам сети с запретом доступа к личным папкам сотрудников. g2 – работа в АИС "ФЭБД", доступ к бухгалтерским АРМ (для подмены работников или выполнения своих функций на других АРМ, в случае выхода из строя своего), запрет доступа к личным папкам на "не своем" АРМ, запрет доступа к CDRW на сервере. g3 – работа в АИС "ДокБД", доступ "чтение/запись" к сетевому принтеру, запрет доступа к CDRW на сервере. g4 – работа в АИС "НормБД", доступ "чтение" к расписанию на сервере, запрет доступа к сетевому принтеру, запрет доступа к CDRW на сервере Индивидуальные назначения права на полный доступ пользователей к "своим" АРМ, доступ к АРМ подменяемых сотрудников с запретом доступа к их личным папкам и дисководам "3,5", права выполнения локальных АИС на АРМ замещаемых сотрудников (работа в АИС "Планирование и контроль" на АРМ руководителя для u2, работа в АИС "Табель рабочего времени" для u6 на АРМ табельщика-делопроизводителя).

295 295

295

1. Теоретико-графовая модель систем индивидуально-группового доступа к иерархически организованным информационным ресурсам

Пример количественного анализа системы индивидуально-группового доступа

Расчет величин Kдубл, Кпревыш и ? гij по пяти вариантам системы индивидуально-группового доступа: 1-й вариант – исходный; 2-й вариант – исключение пользователя u3 (инжене-ра-программиста) из групп g3 и g4 (в силу того, что у группы g1, в которую он входит, имеются полные права доступа ко всей системе за исключением доступа к личным папкам пользователей); 3-й вариант – исключение из группы g4 групп g2 и g3 и, кроме того, добавление группе g3 прав доступа к АИС НормБД; 4-й вариант – исключение из группы g4 всех пользователей и других групп (группа g4 "гостевая" для временной регистрации и работы в сети сторонних пользователей), и аналогично добавление группе g3 прав доступа к АИС НормБД; 5-й вариант – аналогичный 4-му с дополнительным исключением по индивидуальным назначениям раз-решений на доступ к АРМ подменяемых работников, так как необходимый доступ имеется в разрешениях группы g2 (кроме прав доступа к локальным АИС)

296 296

296

1. Теоретико-графовая модель систем индивидуально-группового доступа к иерархически организованным информационным ресурсам

Пример количественного анализа системы индивидуально-группового доступа

297 297

297

1. Теоретико-графовая модель систем индивидуально-группового доступа к иерархически организованным информационным ресурсам

Пример количественного анализа системы индивидуально-группового доступа

«Компьютерная безопасность»
http://900igr.net/prezentatsii/informatika/Kompjuternaja-bezopasnost/Kompjuternaja-bezopasnost.html
cсылка на страницу
Урок

Информатика

126 тем
Слайды
Презентация: Компьютерная безопасность.ppt | Тема: Информационная безопасность | Урок: Информатика | Вид: Слайды