Автор работы: Пользователь скрыл имя, 20 Декабря 2012 в 14:32, курсовая работа
В последнее время увеличивается использование компьютерных сетей во всех сферах жизни современного общества: в сфере обороны, экономики, транспорта, промышленности, связи, здравоохранения, в государственных организациях, в финансовых и банковских структурах, в области защиты и обеспечения правопорядка. Поэтому остро стоят вопросы информационного контроля и управления правами пользователей в компьютерных сетях.
Потенциальная уязвимость информационных систем по отношению к случайным и предумышленным отрицательным воздействиям выдвинула проблемы информационной безопасности в разряд важнейших, стратегических, определяющих принципиальную возможность и эффективность применения ряда ИС в гражданских и военных отраслях.
Введение 2
1 Общие сведения 4
2 Модели разграничения доступа 6
2.1 Дискреционный доступ 7
2.2 Мандатный доступ 9
2.3 Информационные модели 11
2.4 Ролевые модели 12
3 Модели контроля целостности 20
3.1 Модель Биба 20
3.1.1 Мандатная модель 20
3.1.2 Модель понижения уровня субъекта 21
3.2 Модель Кларка-Вилсона 23
4 Комбинирование моделей безопасности 27
4.1 Объединение моделей Белла-Лападулы и Биба 27
4.2 Объединение моделей Кларка-Вилсона и Биба 28
5 Сравнительный анализ основных моделей безопасности 31
5.1 Анализ моделей контроля доступа 31
5.2 Анализ моделей обеспечения целостности 32
6 Выбор модели безопасности для вычислительной сети предприятия 35
Заключение 39
Список литературы 40
Рисунок 3 – Защита целостности в модели КВМ
Модель КВМ состоит из конструкций, математических формул и т.п. Модель предоставляет платформу, которая может использоваться для обеспечения конкретных характеристик в программном обеспечении (конфиденциальность, целостность и т.д.). Таким образом, она не обуславливает, какие правила целостности должно реализовывать IVP; она просто предоставляет платформу, а производители сами реализуют те правила целостности, которые нужны большинству их заказчиков. Поэтому если производитель разрабатывает приложение для финансовой компании, в состав UDI могут входить профили клиентов, которые позволено обновлять, а в состав CDI – информация о банковском счете, обычно хранящаяся на мейнфрейме. Данные UDI не требуют сильной защиты, они могут быть размещены на той же системе или на другой системе. Пользователь может иметь доступ к данным UDI без использования TP, однако когда пользователю нужно получить доступ к CDI, он обязан использовать TP. Таким образом, разработчики продукта определяют, какой тип данных будет рассматриваться как UDI, а какой тип данных является CDI, и разрабатывают TP для управления и дирижирования тем, как программное обеспечение будет обеспечивать целостность значений CDI.
Использование TP для изменения CDI называют правильной транзакцией. Правильная транзакция (well-formed transaction) – это последовательность операций, которые выполняются для перевода данных из одного согласованного состояния в другое. Например, если клиент банка переводит деньги со своего текущего счета на свой депозитный счет, эта транзакция состоит из двух частей – списания суммы с одного счета и зачисления на другой. Гарантируя правильность и целостность нового значения остатка на текущем и депозитном счетах, IVP поддерживает внутреннюю и внешнюю согласованность. Модель КМВ также описывает, как реализовать разделение обязанностей в архитектуре приложения.
В реальных автоматизированных системах редко встречаются системы защиты, ориентированные исключительно на обеспечение конфиденциальности или исключительно на обеспечение целостности информации. Как правило, система защиты должна сочетать оба механизма – а значит, при ее построении и анализе будет необходимым совместное использование нескольких формальных моделей безопасности.
Рассмотрим в качестве
примера возможные варианты совместного
использования моделей Белла-Ла
1. Две модели могут быть реализованы в системе независимо друг от друга. В этом случае субъектам и объектам независимо присваиваются уровни секретности и уровни целостности.
2. Возможно логическое объединение моделей за счёт выделения общих компонентов. В случае моделей Биба и Белла-Лападулы таким общим компонентом является порядок разграничения доступа в пределах одного уровня секретности (рисунок 4).
Рисунок 4 – Выделение общих компонентов модели Биба и КЛМ
3. Возможно использование одной и ой же решётки уровней как для секретности, так и для целостности. При этом субъекты и объекты с высоким уровнем целостности будут располагаться на низких уровнях секретности, а субъекты и объекты с низким уровнем целостности – на высоких уровнях секретности (рисунок 5).
Рисунок 5 - Единая решётка уровней целостности и секретности
Последняя реализация позволяет, например, разместить системные файлы на нижнем уровне иерархии, что обеспечит их максимальную целостность, не акцентируя внимание на излишней в данном случае секретности.
Дополнительным преимуществом модели КВМ является возможность ее объединения с другими моделями безопасности. Мы рассмотрим один из многих возможных подходов к объединению моделей в терминах разработки программного обеспечения, в котором программный продукт можно разделить:
1) на код ПО;
2) прочие вспомогательные данные, файлы и т.д.
Предположим, что компьютерная система, в которой будет защищаться это ПО и данные, обладает многоуровневой целостностью. Однако для наших целей достаточно использования только двух уровней целостности, то есть мы будем считать, что разрабатываемое ПО расположено на высоком уровне целостности, а все, что не относится к нему - на низком уровне. Субъекты верхнего уровня называются администраторами.
Будем считать, что субъекты могут располагаться на обоих уровнях целостности и что администрирование ПО включает в себя обычный набор действий (например управление конфигурацией, учет состояния конфигурации, запросы на модификацию и т.д.). Также необходимо расположить основные инструменты разработки ПО, включая компиляторы, ассемблер и т.д. на верхнем уровне целостности. Используя эти предположения, мы можем теперь рассмотреть специфический подход к защите целостности на основе моделей КВМ и Биба.
Защита по модели Биба между уровнями целостности. Первый тип защиты в нашей модели основан на мандатной модели целостности Биба, то есть мы гарантируем, что уровни целостности обрабатываются в соответствии с правилами no read down и no write up. Кроме того, выполнение мы рассматриваем так же, как чтение, следовательно, действует правило no execute down (“нет исполнения снизу”).
Описанные методы имеют те же преимущества, что и модель Биба. В контексте нашего примера пользователи с низким уровнем не могут изменять ПО никаким образом, будь то злонамеренно или случайно. Таким образом, система оказывается защищенной от вирусов и троянских коней, расположенных на низком уровне целостности.
Однако один из видов атак подразумевает спровоцированное выполнение администратором скрытой программы, что может иметь разрушительные последствия. Этот тип атак также предотвращается моделью Биба, поскольку правило no execute down не позволяет системным администраторам с высоким уровнем целостности выполнять программы нижнего уровня.
Защита по модели КВМ в пределах уровней целостности. Модель Биба эффективно защищает ПО от атак субъектов, находящихся на другом уровне целостности, но не предоставляется никакой защиты ПО от атак в пределах уровня целостности, то есть если злоумышленник находится на высоком уровне целостности (возможно, в результате ошибки при определении уровня целостности для данного субъекта), то этот субъект может стать причиной различных проблем с целостностью ПО.
В результате мы можем выработать некоторые механизмы, которые связаны с моделью КВМ. Точнее, мы можем рассматривать каждый уровень целостности как состоящий из множества субъектов и множества объектов, которые мы будем интерпретировать как набор CDI. Наша цель - установить контроль по модели КВМ над множеством CDI на верхнем уровне целостности, чтобы обеспечить защиту этих CDI от субъектов.
Данные типы управления обеспечивают защиту целостности в соответствии с моделью КВМ.
КВМ-тройки. Для субъектов должны быть определены отношения КВМ-троек, TP (процедур преобразования) и CDI в пределах каждого из уровней целостности, чтобы обеспечить соблюдение подходящей политики. Такая политика будет реализовывать множество защитных требований, соответствующих группам субъектов, TP и CDI в пределах каждого уровня.
Разделение обязанностей. Подходящая политика разделения обязанностей должна быть определена и проводиться для КВМ-троек в пределах уровней для обеспечения повышенного уровня защиты целостности. Примером разделения обязанностей может послужить требование того, что никакой субъект не может изменить CDI без вовлечения другого субъекта.
В предыдущих разделах были описаны различные модели безопасности информационных систем, включающие в себя модели, обеспечивающие конфиденциальность и целостность информации. Теперь постараемся провести их сравнительный анализ.
Надо отметить, что каждая из описанных моделей служит для выполнения определенных задач и выбор одной или нескольких моделей обуславливается спецификой области применения.
Различные организации имеют свои требования к политике безопасности. Система дискреционного управления доступом подразумевает, что все ресурсы системы принадлежат пользователям системы, а значит следить за доступом к ресурсу должен его владелец, т.е. пользователь. Такие системы в основном рассчитаны на небольшое количество пользователей. При росте числа пользователей, количество работ по администрированию системы возрастает многократно.
Для организаций в которых требуется четкая централизованная система управления доступа, при которой каждый пользователь имеет ровно столько информации сколько ему требуется, и безопасность или надежность данных является основным приоритетом, уместно использовать систему обязательного контроля за доступом. Обычно это большие организации, где функции всех ее членов строго регламентированы. К ним в основном относятся военные институты.
Также довольно часто требуется совместить гибкость настройки с централизованным управлением. Тогда использование комбинации обязательного и дискреционного контроля за доступом представляется вполне целесообразным. Такая комбинация позволяет централизованно ограничить доступ к наиболее критичным ресурсам на самом верхнем уровне, и в то же время позволить пользователям управлять доступом к менее важным данным.
Системы с ролевым управлением доступа целесообразно использовать в больших организациях, со сложной иерархией и большим количеством разделяемых операций. В такой системе данные обычно принадлежат не пользователю, а системе. И управление доступом к ресурсам основывается не на принадлежности ресурса, а на функциях пользователя в организации. Вообще говоря, ролевой метод управления доступом является модификацией модели обязательного, но он не основан на многоуровневой системе требований к безопасности. Также важно понимать, что RBAC больше связан с управлением доступом к операциям над объектами, а не к самим объектам.
Модель дискреционного контроля за доступом и модель обязательного контроля за доступом имеют одно фундаментальное отличие от ролевой модели. Оно заключается в том что первые две модели заранее определяют политику безопасности системы и позволяют ее настраивать для каждой конкретной ситуации. В тоже время ролевая модель ни в коей мере не предопределяет политику безопасности, а позволяет ее настроить в том виде в каком это требуется организации. Таким образом настройка системы безопасности системы на основе ролевой модели контроля за доступом производится в две стадии.
В то время как для
первых двух моделей политика безопасности
системы уже предопределена. Такое
различие позволяет создавать
Теперь перейдем к анализу моделей безопасности, направленных на защиту от угроз целостности.
Ниже приведены три основных цели моделей целостности:
Модель КВМ учитывает все три эти цели (посредством тройки доступа, разделения обязанностей и аудита). Эта модель обеспечивает целостность, используя правильные транзакции (посредством тройки доступа) и разделение обязанностей. Модель Биба учитывает только первую цель.
Поскольку модель Биба так похожа на БЛМ, то она обладает большинством достоинств и недостатков этой модели. Например, обе модели просты и интуитивны и могут быть выражены простыми правилами (NRD и NWU). Кроме того, обе модели способствуют введению условий спокойствия для обеспечения того факта, что изменение меток не нарушит безопасности системы (это не относится к двум моделям понижения уровня Биба).
Однако модель Биба также обладает многими проблемами, присущими БЛМ. Например, использование модели Биба в распределенных системах может привести к двунаправленному потоку информации при удаленном чтении. В практическом применении модель Биба слишком сильно полагается на понятие доверенных процессов, то есть проблема необходимости создания доверенных процессов для повышения или понижения целостности субъектов или объектов является весьма существенной.
Основным преимуществом модели КВМ является то, что она основана на проверенных временем бизнес-методах обращения с бумажными ресурсами. Поэтому модель КВМ не следует рассматривать как академическое исследование, а скорее как комплекс существующих методов. Модель КВМ также предоставляет исследователям методы работы с целостностью, отличные от традиционных уровне-ориентированных подходов, таких как модели БЛМ и Биба.