Формальные модели безопасности

Министeрствo oбразoвания и науки Рoссийскoй Фeдeрации

Федеральное государственное  бюджетное образовательное учреждение высшего профессионального образования

«Рязанский гoсударствeнный радиoтexничeский унивeрситeт»

Кафeдра «Инфoрмациoнная бeзoпаснoсть»

Рeфeрат

пo дисциплинe

 «Мeтoды и срeдства защиты инфoрмации»

на тeму

«Формальные модели безопасности»

    Выпoлнили:

       студeнтки группы 841

       Антипова  А.А.

       Бекаури  Я.Г.

 

     Прoвeрил:

  заведующий кафедрой

 «Информационная безопасность»

   Пржeгoрлинский В.Н.

 

 

Рязань 2011

Содержание:

Введение………………...…………………………………………………………3

1. Понятие политики  безопасности и её основные  базовые представления….5

     1.1. Компьютерная безопасность ……………………………………………….

           1.1.1. Определения компьютерной безопасности…………………………

           1.1.2. Контроль доступа…………………………………………………….

     1.2. Модели безопасности……………………………………………………….

 2. Модель компьютерной системы. Понятие доступа и монитора безопасности………………………………………………………………………..

 3. Формальные модели безопасности…………………………………………….

     3.1  Применение Формальных моделей безопасности…………………………

                   3.1.1. Базовые представления моделей безопасности……………………

                3.1.2.  Мандатная и дискреционная модели………………………………

     3.2 Дискреционная модель Харрисона-Руззо-Ульмана……………………….

 4. Модель Белла-ЛаПадулы……………………………………………………….

     4.1 Мандатная модель Мак-Лина……………………………………………….

     4.2 Модель уполномоченных субъектов……………………………………….

 

Заключение…………………………………………………………………………

Список использованной литературы……………………………………………..

 

 

 

 

 

 

 

 

Введение

Информационные  технологии (ИТ) является на сегодняшний  день основой для построения современных  информационно-измерительных систем (ИИС). Вместе с этим, ИТ привнесли  в эту сферу проблемы обеспечения известной "триады" – конфиденциальности, целостности и доступности. Таким образом, для  обеспечения и поддержания  режима информационной безопасности (ИБ) современных ИИС требуется разработка и реализация политик безопасности, используемых информационных технологий. В связи с этим рассмотрим основные математические методы, применяемые при формальном анализе и описании политик безопасности ИИС. При анализе функционирования этих систем (при этом системы являются необязательно вычислительными), область применения которых  является  критичной в плане обеспечения их жизнедеятельности  (к данному  классу  обычно   относятся  защищенные ИИС), желательно рассмотреть ее реакции на все возможные входные воздействия.

Хотя количество всех возможных реакций системы  достаточно велико, существует два метода, позволяющих уменьшить количество состояний, которые необходимо подвергнуть анализу.

Один из методов  заключается в доказательстве того, что система всегда "работает корректно", тогда  как альтернативный метод состоит в демонстрации того, что система "никогда не выполняет неверных действий".

При использовании  первого метода используется комбинация анализа и эмпирического тестирования для определения таких реакций  системы, которые могут привести к серьезным сбоям – например, функционирование системы при граничных условиях или при условиях, не оговоренных в качестве возможных для компонентов системы. В качестве примера можно привести требование описания поведения системы в ответ на входное воздействие типа "выключение питания".

Основной идеей  второго метода является гипотеза о  том, что система делает что-то некорректное, поэтому ведется анализ реакций  системы с выявлением состояний, в которых возможно проявление данной некорректности. Доказательство корректности работы системы сводится к демонстрации того, что данные состояния недостижимы, то есть к доказательству от противного.

Свойство, характерное  как для одной, так и для  другой технологии анализа безопасности ИИС, выражаются путём группирования  схожих реакций системы (cигнатур) так, что для рассмотрения всех возможных реакций ИИС необходимо анализировать лишь небольшое количество входных воздействий.

Данные методы анализа безопасности систем пригодны в основном для измерительных  систем, основывающихся на механических, электрических и других компонентах, то есть компонентах, основанных на физических принципах действия. В системах, основанных на физических принципах, отношения между входными и выходными данными являются непрерывными, то есть незначительные изменения во входных данных влекут незначительные   изменения   в   выходных   данных.

Это   позволяет   проанализировать (протестировать) поведение  системы, основанной на физических законах  конечным количеством тестов, так  как непрерывный характер правил функционирования системы позволяет заключить, что отклик системы на непротестированное значение входной величины будет схожим с соответствующими протестированными случаями.

Таким образом, можно сделать вывод о том, что метод непосредственного  тестирования хотя и необходимо применять к системам критического назначения, но он способен выявлять только примитивные ошибки в программном обеспечении. Вследствие сложности современных программных систем и вытекающего из этого многообразия реакций системы на входной поток данных, описанная выше техника недостаточна для анализа сложных ИИ. [С. 98-103, 2]

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. Понятие  политики безопасности и её  основные базовые представления

«Под политикой безопасности понимается совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое (а иногда и достаточное) условие безопасности системы. Формальное выражение политики безопасности называют моделью политики безопасности». [С. 583, 10]

Основная цель создания политики безопасности информационной системы и описания ее в виде формальной модели — это определение условий, которым должно подчиняться поведение  системы, выработка критерия безопасности и проведение формального доказательства соответствия системы этому критерию при соблюдении установленных правил и ограничений. На практике это означает, что только соответствующим образом уполномоченные пользователи получат доступ к информации, и смогут осуществлять с ней только санкционированные действия.

Кроме того, формальные модели безопасности позволяют решить еще целый ряд задач, возникающих  в ходе проектирования, разработки и сертификации защищенных систем, поэтому их используют не только теоретики  информационной безопасности, но и другие категории специалистов, участвующих в процессе создания и эксплуатации защищенных информационных систем (производители, потребители, эксперты-квалификаторы).

Производители защищенных информационных систем используют модели безопасности в следующих случаях:

 • при  составлении формальной спецификации  политики безопасности разрабатываемой  системы;

 • при  выборе и обосновании базовых  принципов архитектуры защищенной  системы, определяющих механизмы  реализации средств защиты;

 • в процессе  анализа безопасности системы в качестве эталонной модели;

 • при  подтверждении свойств разрабатываемой  системы путем формального доказательства  соблюдения политики безопасности.

Потребители путем  составления формальных моделей  безопасности получают возможности  довести до сведения производителей свои требования в четко определенной и непротиворечивой форме, а также оценить соответствие защищенных систем своим потребностям.

Эксперты по квалификации в ходе анализа адекватности реализации политики безопасности в  защищенных системах используют модели безопасности в качестве эталонов. [С. 31-32, 8]

Все модели безопасности основаны на следующих базовых представлениях:

1. Система является  совокупностью взаимодействующих  сущностей — субъектов и объектов. Объекты можно интуитивно представлять в виде контейнеров, содержащих информацию, а субъектами считать выполняющиеся программы, которые воздействуют на объекты различными способами. При таком представлении системы безопасность обработки информации обеспечивается путем решения задачи управления доступом субъектов к объектам в соответствии с заданным набором правил и ограничений, которые образуют политику безопасности. Считается, что система безопасна, если субъекты не имеют возможности нарушить правила политики безопасности. Необходимо отметить, что общим подходом для всех моделей является именно разделение множества сущностей, составляющих систему, на множества субъектов и объектов, хотя сами определения понятий объект и субъект в разных моделях могут существенно различаться.

2. Все взаимодействия в системе моделируются установлением отношений определенного типа между субъектами и объектами. Множество типов отношений определяется в виде набора операций, которые субъекты могут производить над объектами.

3. Все операции  контролируются монитором взаимодействий и либо запрещаются, либо разрешаются в соответствии с правилами политика безопасности.

4. Политика безопасности  задается в виде правил, в соответствии  с которыми должны осуществляться  все взаимодействия между субъектами  и объектами. Взаимодействия, приводящие к нарушению этих правил, пресекаются средствами контроля доступа и не могут быть осуществлены.

5. Совокупность  множеств субъектов, объектов  и отношений между ними (установившихся  взаимодействий) определяет состояние  системы. Каждое состояние системы является либо безопасным, либо небезопасным в соответствии с предложенным в модели критерием безопасности.

6. Основной элемент  модели безопасности — это  доказательство утверждения (теоремы)  о том, что система, находящаяся  в безопасном состоянии, не может перейти в небезопасное состояние при соблюдении всех установленных правил и ограничений.

Можно сформулировать следующие аксиомы защищенных компьютерных систем (КС):

Аксиома 1. В  защищенной КС всегда присутствует активная компонента (субъект), выполняющая контроль операций субъектов над объектами. Данная компонента фактически отвечает за реализацию некоторой политики безопасности.

Аксиома 2. Для  выполнения в защищенной КС операций над объектами необходима дополнительная информация (и наличие содержащего ее объекта) о разрешенных и запрещенных операциях субъектов с объектами.

В данном случае мы оперируем качественными понятиями  «контроль», «разрешенная и запрещенная  операция», данные понятия будут  раскрыты и проиллюстрированы ниже.

Аксиома 3. Все вопросы безопасности информации описываются доступами субъектов к объектам.

Важно заметить, что политика безопасности описывает  в общем случае нестационарное состояние  защищенности. Защищаемая система может  изменяться, дополняться новыми компонентами (субъектами, объектами, операциями субъектов над объектами). Очевидно, что политика безопасности должна быть поддержана во времени, следовательно, в процессе изучения свойств защищаемой системы должны быть добавлены процедуры управления безопасностью. [С. 105-108, 9]

1.1 Компьютерная  безопасность 

«В общепринятом понимании компьютерная защита объединяет такие разные вещи, как контроль санкционированного (и несанкционированного) доступа, управление учетными записями и привилегиями пользователя, защиту от копирования, от вирусов и защиту баз данных. В принципе, к защите компьютерной информации также относятся защита от подсоединения других пользователей через сеть, от подбора пароля и от проникновения вирусов, но такого рода вещи мы обсудим в главе, посвященной безопасности сетей. В век Интернета понятия компьютерной безопасности и безопасности сетей практически слились. Но для ясности в этой книге я проведу некую условную границу между понятиями компьютерной и сетевой безопасности по принципу: актуальна эта проблема безопасности для любого компьютера или только для компьютера, подсоединенного к сети. Полная защита компьютерной информации, которую можно определить как предотвращение и (или) выявление недозволенных действий пользователей компьютерной системы, представляется существенно более сложной, чем простая математика криптографии. Так оно и есть». [С. 267, 10]

Суть проблемы состоит в том, что одна математика не может обеспечить полную безопасность. В криптографии математика дает защите огромное преимущество перед злоумышленником. Добавьте один бит к ключу – и вы вдвое усложните работу по взлому алгоритма. Добавьте десять битов – и вы увеличите эту работу примерно в тысячу раз. Когда речь идет о компьютерной безопасности в целом, стороны находятся в равном положении: злоумышленники и защитники могут извлечь из технологии одинаковую выгоду. Это значит, что, если бы вам было достаточно криптографии для обеспечения безопасности, у вас все было бы в порядке. К сожалению, в большинстве случаев это не так.

Большинство ранних исследований по компьютерной безопасности было посвящено проблеме персонального доступа в системах совместного пользования. Как сделать так, чтобы Алиса и Боб могли пользоваться одним и тем же компьютером и одинаковыми компьютерными программами, но чтобы Алиса не могла видеть, что делает Боб, а Боб не знал, что делает Алиса? Или в общем случае: если системой пользуется большая группа людей, у каждого из которых есть определенные права использовать определенные программы и видеть определенные данные, то как мы можем реализовать такие правила контроля доступа? Вообще говоря, это не та задача, которую можно решить с помощью криптографии, хотя в чем-то она могла бы помочь. Это новая задача.