Исследование моделей и средств обеспечения информационной безопасности на предприятии

Рассмотрим работу MMS. Пользователь получает доступ к системе только после прохождения процедуры login. Для этого пользователь предоставляет системе пользовательский идентификатор, и система производит аутентификацию, используя пароли, отпечатки пальцев или другую адекватную технику. После успешного прохождения аутентификации пользователь запрашивает у системы операции для использования функций системы. Операции, которые пользователь может запросить у системы, зависят от его ID или роли, для которой он авторизован: с использованием операций пользователь может просматривать или модифицировать объекты или контейнеры. Система реализует ограничения, описанные ниже.

Пользователь всегда может скомпрометировать информацию, к которой он имеет законный доступ. Таким образом, надо сформулировать предположения безопасности, которые могут быть выполнены только пользователями системы.

А1. Офицер безопасности системы присваивает уровни доверия, классификацию устройств и множества ролей корректно.

А2. Пользователь вводит корректную классификацию, когда изменяет, объединяет или переклассифицирует информацию.

А3. Пользователь классифицирует сообщения и определяет множества доступа для сущностей, которые он создает, так, что только пользователь с требуемой благонадежностью может просматривать информацию.

А4. Пользователь должным образом контролирует информацию объектов, требующих благонадежности.

Ограничения безопасности, в отличие от предположений безопасности, должны поддерживаться не пользователями системы, а непосредственно компьютерной системой.

В1. Авторизация - пользователь может запрашивать операции над сущностями, только если пользовательский идентификатор или текущая роль присутствуют во множестве доступа сущности вместе с этой операцией и со значением индекса, соответствующим позиции операнда, в которой сущность относят в требуемой операции.

В2. Классификационная иерархия - классификация контейнера всегда больше или равна классификации сущностей, которые он содержит.

В3. Изменения в объектах - информация, переносимая из объекта, всегда наследует классификацию данного объекта. Информация, вставляемая в объект, должна иметь классификацию ниже классификации этого объекта.

В4. Просмотр - пользователь может просматривать (на некотором устройстве вывода) только сущности с классификацией меньше, чем классификация устройства вывода и степень доверия к пользователю (данное ограничение применяется к сущностям, адресуемым прямо или косвенно).

В5. Доступ к контейнерам, требующим степени доверия - пользователь может получить доступ к косвенно адресованной сущности внутри контейнера, требующего степени доверия, только если его степень доверия не ниже классификации контейнера.

В6. Преобразование косвенных ссылок - пользовательский идентификатор признается законным для сущности, к которой он обратился косвенно, только если он авторизован для просмотра этой сущности через ссылку.

В7. Требование меток - сущности, просмотренные пользователем, должны быть помечены его степенью доверия.

В8. Установка степеней доверия, ролей, классификации устройств - только пользователь с ролью офицера безопасности системы может устанавливать данные значения. Текущее множество ролей пользователя может быть изменено только офицером безопасности системы или самим пользователем.

В9. Понижение классификации информации - никакая классифицированная информация не может быть понижена в уровне своей классификации, за исключением случая, когда эту операцию выполняет пользователь с ролью "пользователь, уменьшающий классификацию информации".

В10. Уничтожение информации - операция уничтожения информации проводится только пользователем с ролью "пользователь, уничтожающий информацию".

По большому счету, модель MMS является примером сочетания дискреционной, мандатной и ролевой политики безопасности.

 

3 Модели контроля целостности

 

Рассмотрим теперь наиболее известные и широко используемые модели, защищающие ИС от угрозы нарушения целостности.

3.1 Модель Биба

При рассмотрении БЛМ  было показано, что важность или чувствительность субъектов и объектов повышается с ростом в иерархии уровней безопасности. При рассмотрении моделей контроля целостности запись наверх может представлять угрозу в том случае, если субъект с низким уровнем безопасности искажает или уничтожает данные в объекте, лежащем на более высоком уровне. Поэтому, исходя из задач целостности, можно потребовать, чтобы такая запись была запрещена. Следуя подобным аргументам, можно рассматривать чтение снизу как поток информации, идущий из объекта нижнего уровня и нарушающий целостность субъекта высокого уровня. Поэтому весьма вероятно, что и такое чтение необходимо запретить.

Два этих наблюдения сделал в середине семидесятых Кен Биба. Они были последовательно внесены в модель безопасности, которая с тех пор называется моделью целостности Биба (или просто моделью Биба). Биба выразил свою модель таким же способом, каким была выражена БЛМ, за тем исключением, что правила его модели являются полной противоположностью правилам БЛМ. Рассмотрим три вариации модели Биба: мандатную модель целостности, модель понижения уровня субъекта и модель понижения уровня объекта.

3.1.1 Мандатная модель

Мандатную модель целостности Биба часто называют инверсией БЛМ. Это довольно точное название, поскольку основные правила этой модели просто переворачивают правила БЛМ. Мы будем ссылаться на эти правила как “нет чтения снизу” (NRD) и “нет записи наверх” (NWU), и определим их в терминах субъектов, объектов, и нового типа уровней безопасности - уровней целостности, над которыми может быть введено отношение преобладания.

Правило NRD мандатной модели целостности Биба определяется как запрет субъектам на чтение информации из объекта с более низким уровнем целостности. NRD является полной противоположностью правила NRU БЛМ, за исключением того, что здесь используются уровни целостности, а не безопасности, как в БЛМ. Правило NWU мандатной модели целостности Биба определяется как запрет субъектам на запись информации в объект с более высоким уровнем целостности. Это правило является полной противоположностью правилу NWD БЛМ для случая уровней целостности, а не безопасности.

Одним из преимуществ  этой модели является то, что она унаследовала многие важные характеристики БЛМ, включая ее простоту и интуитивность. Это значит, что проектировщики реальных систем могут легко понять суть этих правил и использовать их для принятия решений при проектировании. Кроме того, поскольку мандатная модель целостности Биба, подобно БЛМ, основана на простой иерархии, ее легко объяснить и изобразить пользователям системы.

С другой стороны, модель представляет собой очевидное противоречие с правилами NRU и NWD. Это значит, что если необходимо построить систему, которая предотвращает угрозы как секретности, так и целостности, то одновременное использование правил моделей БЛМ и Биба может привести к ситуации, в которой уровни безопасности и целостности будут использоваться противоположными способами.

3.1.2 Модель понижения уровня субъекта

Вторая модель Биба заключается  в небольшом ослаблении правила  чтения снизу. Мандатная модель целостности не позволяет субъектам с высокой целостностью читать информацию из объектов с более низкой целостностью. Это правило гарантирует, что информация из объекта с низкой целостностью не нарушит целостности субъекта. Однако в модели понижения уровня субъекта ему разрешается осуществлять чтение снизу, но в результате такого чтения уровень целостности субъекта понижается до уровня целостности объекта.

Мотивом для введения такого правила может являться то, что субъекты с высокой целостностью рассматриваются как “чистые”. Когда к чистому субъекту попадает информация из менее чистого источника, субъект “портится”, и его уровень целостности должен быть соответственно изменен. Одной из характеристик этой модели является то, что она не накладывает никаких ограничений на то, что субъект может прочитать. Если, например, субъект не должен никогда переходить на более низкий уровень целостности, то не следует использовать эту модель, поскольку она может привести к такому нарушению. Если все же эта модель реализована в реальной системе, то необходимо создание некоторых дополнительных мер, предупреждающих субъекта о возможных последствиях выполнения таких операций чтения перед тем, как они будут выполнены.

Следует также заметить, что модель подразумевает монотонное изменение уровней целостности субъектов. То есть, уровни целостности субъектов или остаются неизменными, или снижаются. Иными словами, целостность субъекта может остаться прежней или ухудшиться, поскольку модель не предусматривает механизмов повышения уровня целостности субъекта.

 

3.1.3 Модель понижения уровня объекта

Последний тип модели Биба представляет собой ослабление правила для записи наверх, то есть вместо полного запрета на запись наверх эта модель разрешает такую запись, но снижает уровень целостности объекта до уровня целостности субъекта, осуществлявшего запись. Мотивы для такого правила те же, что и в модели понижения уровня субъекта.

Данная модель, подобно предыдущей, не накладывает никаких ограничений на то, что субъект может читать или писать. Поэтому ситуации, когда искажения объекта и понижение его уровня целостности могут вызвать серьезные последствия, не допускают использования этой модели. Например, критическая база данных, включающая данные, целостность которых имеет предельно высокое значение, не может быть реализована на основании этой модели. Если данная модель используется в реальной системе, то необходимо возложить на субъекты ответственность за деградацию объектов с высокой целостностью. Для реализации этого потребуется использование дополнительных средств обработки.

В данной модели происходит монотонное снижение уровня целостности  объектов. Как и в модели понижения уровней субъектов, здесь не предусмотрено никаких механизмов для повышения уровня целостности объекта. Возможно совместное использование моделей понижения уровня субъекта и объекта в одной системе.

3.2 Модель Кларка-Вилсона

Модель Кларка-Вилсона (КВМ) появилась в 1987 году в результате проведенного авторами анализа реально применяемых методов обеспечения целостности документооборота в коммерческих компаниях. Она изначально ориентирована на нужды коммерческих заказчиков, и, по мнению авторов, более адекватна их требованиям, чем предложенная ранее коммерческая интерпретация модели целостности на основе решеток. Основные понятия рассматриваемой модели - это корректность транзакций и разграничение функциональных обязанностей. Модель задает правила функционирования компьютерной системы и определяет две категории объектов данных и два класса операций над ними.

Эта модель использует следующие  элементы:

Пользователи (user) – активные агенты

Процедуры преобразования (TP – transformation procedure) – запрограммированные абстрактные операции, такие как чтение, запись и изменение

Ограниченные (контролируемые) элементы данных (CDI – constrained data item) – могут управляться только TP

Неограниченные (неконтролируемые) элементы данных (UDI – unconstrained data item) – могут управляться пользователями посредством команд чтения и записи

Процедуры проверки целостности (IVP – Integrity verification procedure) – запускаются периодически для проверки непротиворечивости CDI внешней действительности.

Когда приложение использует модель КВМ, оно разделяет данные на одно подмножество, которое должно быть максимально защищено (CDI), и подмножества, для которых такая защита не требуется (UDI). Пользователи не могут напрямую изменять критичные данные CDI. Вместо этого пользователи (субъекты) должны пройти аутентификацию в соответствующей части программного обеспечения, а программные процедуры (TP) выполнят необходимые операции от имени этих пользователей. Например, если пользователю нужно обновить информацию, содержащуюся в базе данных компании, она не может сделать этого без использования специального программного обеспечения, управляющего этими действиями. Сначала он должен аутентифицироваться в соответствующей программе, которая является интерфейсом к базе данных, а затем программа будет управлять тем, что пользователь может и что не может делать с информацией в этой базе данных. Это называют тройкой доступа (access triple): субъект (пользователь), программа (TP) и объект (CDI). Пользователь не может вносить изменения в CDI без использования TP.

Таким образом, пользователь собирается ввести данные, которые предположительно заменят исходные данные в базе данных. Программное обеспечение (TP) должно гарантировать, что эта деятельность безопасна, и выполнить процедуру записи для пользователя. Он (как и любой другой субъект) не достаточно доверен для управления объектами напрямую.

Целостность CDI должна быть защищена с помощью TP. UDI не требует  такого уровня защиты. Например, если пользователь работает со своим интернет-банкингом, данные на сервере и в базе данных ее банка разделены на категории UDI и CDI. Категория CDI содержит информацию о его банковском счете, которая должна быть максимально защищена. Данными UDI могут быть его клиентский профиль, который он может обновлять при необходимости. TP не требуется, если пользователю нужно обновить свою информацию UDI.

В некоторых случаях  системе может потребоваться  перенести данные UDI в данные CDI. Например, когда пользователь обновляет свой клиентский профиль через веб-сайт, чтобы указать свой новый адрес проживания, эта информация должна быть отправлена банковскому программному обеспечению, ответственному за почтовую информацию в банковских счетах. Банк не хочет, чтобы пользователь напрямую взаимодействовал с банковским программным обеспечением, поэтому применяется компонент программного обеспечения (TP), ответственный за копирование таких данных и обновление почтового адреса клиента. На этом этапе TP меняет статус данных с UDI на CDI. Эта концепция показана на рисунке 3.