Формальные модели безопасности

Для гарантирования безопасности во время перехода между  состояниями необходимо регламентировать изменения уровней безопасности во время перехода от состояния к  состоянию с помощью дополнительных правил.

[С. 1-3, 16]

 

 

4.1.  Мандатная модель Мак-Лина

Мандатная модель Мак-Лина является интерпретацией мандатной  модели Белла-ЛаПадулы. Основная теорема  безопасности основывается на понятии  безопасного перехода, а не на понятии  безопасного состояния.

При таком подходе  функция уровня безопасности представляется с помощью двух функций, определнных на множестве субъектов и объектов: Fs : S -► L и  Fo: O -► L.

Функция перехода T является безопасной по чтению, если для любого перехода T(r,v) = v* выполняются  следующие условия:

1)    если read M* [s, o] и read i M [s, o], то: Fs(s) >Fo(o) F = F*;

2)    если Fs, F*, то: M = M s Fo = F* для Vs, o, для которых F*(s) < Fo*(o), read M[s,o];

3)    если Fo, F* то: M = M o  Fs = F*, для Vs, o, для которых F*(s) < Fo*(o),  read M [s, o].

 

Функция перехода T является  безопасной по записи, если для любого перехода T (r, v) = v* выполняются следующие условия:

1)    если write M* [s, o] и write Ј M [s, o], то: Fo(o) >Fs(s) F = F*;

2)    если Fs, F*, то: M = M s Fo = F; для Vs, o, для которых F*(s) > F*(o), write & M[s, o];

3)    если Fo, F*  то: M =M*, Fs = F* , для Vs, o, для которых F*(s) > F*(o), write & M[s, o].

 

Функция перехода является безопасной тогда и только тогда, когда она является безопасной и по чтению, и по записи. Смысл введения перечисленных ограничений состоит в том, что нельзя изменять одновременно более одного компонента состояния системы — в процессе перехода либо возникает новое отношение доступа, либо изменяется уровень объекта, либо изменяется уровень субъекта.

Следовательно, функция перехода является безопасной тогда и только тогда, когда она изменяет только один из компонентов состояния и изменения не приводят к нарушению безопасности системы.

Поскольку безопасный переход из состояния v в состояние v* позволяет изменяться только одному элементу из v, и т.к. этот элемент может быть изменен только способами, сохраняющими безопасность состояния, была доказана следующая теорема о свойствах безопасной системы:

Теорема 2.2 (безопасности Мак-Лина).  Система безопасна  в любом состоянии и в процессе перехода между ними, если ее начальное состояние является безопасным, а ее функция перехода удовлетворяет критерию Мак-Лина.

Обратное утверждение  неверно. Система может быть безопасной по определению Белла-ЛаПадулы, но не иметь безопасной функции перехода.

Формулировка  основной теоремы безопасности в  интерпретации Мак-Лина позволяет  расширить область ее применения по сравнению с классической теоремой Белла-ЛаПадулы, но используемый критерий безопасности перехода не всегда соответствует  требованиям контроля доступа, возникающим на практике. [С. 171-177, 12]

4.2. Модель уполномоченных субъектов

В процессе осуществления  переходов могут изменятся уровни безопасности сущностей системы. Поэтому  желательно контролировать этот процесс, явным образом разрешая или запрещая субъектам подобные переходы.

Для решения  этой задачи Мак-Лин расширил базовую  модель путем выделения подмножества уполномоченных субъектов. Таким субъектам  разрешается инициировать переходы, в результате которых у сущностей  системы изменяются уровни безопасности.

1. Обозначения

 

Система с уполномоченными  субъектами описывается множествами S, O и L.

Состояние системы  описывается набором упорядоченных  пар (F,M), где

F -  функция  перехода; M -  матрица отношений доступа (введенные обозначения совпадают с аналогичными понятиями модели Белла-ЛаПадулы). Функция управления уровнями C : SuO —> P(S) определяет подмножество субъектов, которым позволено изменять уровень безопасности для заданного объекта или субъекта. P(S) — множество всех подмножеств S.

Модель системы  (v0, R) состоит из начального состояния v 0, множества запросов R и функции перехода Ta : (S х V х R) —> V, которая переводит систему из состояния в состояние по мере выполнения запросов (a — субъект, от которого исходит запрос). Система, находящаяся в состоянии v e V, при получении запроса r от субъекта s, переходит в состояние v* = Tа (s, v, r).

2. Авторизованная функция перехода

Функция перехода Ta в модели с уполномоченными  субъектами называется авторизованной функцией перехода тогда и только тогда, когда для каждого перехода Ta(s, v, r) = v*,  при котором v =  (F, M)  и v* = (F*, M*), выполняется условие: S U O :   если F*(x) = F(x), то s G C(x).

Иными словами, в ходе авторизованного перехода уровень безопасности    субъекта или объекта может изменяться только тогда, когда субъект, выполняющий переход, принадлежит множеству субъектов, уполномоченных изменять уровень этого субъекта или объекта.

3. Безопасность системы J2(v0, R, Ta)

Система J2(v0, R, Ta) считается безопасной в том случае, если:

1. начальное состояние v0 и все состояния, достижимые из него путем применения конечного числа запросов из R, являются безопасными по критерию Белла-ЛаПадулы;

2.  функция перехода Ta  является авторизованной функцией перехода.

 

 Из этого  определения следует только необходимое условие безопасности системы. В качестве достаточного условия может использоваться совокупность критерия авторизации функции перехода и критериев безопасного состояния Белла-ЛаПадулы, либо критериев безопасности функции перехода Мак-Лина. [С. 138-141, 14]

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Заключение

В арсенале специалистов по информационной безопасности имеется  широкий спектр защитных мер: законодательных, морально-этических, административных (организационных), физических и технических (аппаратурных и программных) средств. Все они обладают своими достоинствами и недостатками, которые необходимо знать и правильно учитывать при создании систем защиты.

При построении конкретных систем компьютерной безопасности необходимо руководствоваться основными  принципами организации защиты: системностью, комплексностью, непрерывностью защиты, разумной достаточностью, гибкостью управления и применения, открытостью алгоритмов и механизмов защиты и простотой применения защитных мер и средств, а также придерживаться рекомендаций, полученных на основе опыта предыдущих разработок. [С. 250, 6]

«Основными известными универсальными защитными механизмами являются:

• идентификация (именование и опознавание), аутентификация (подтверждение подлинности) и авторизация субъектов доступа;
• контроль (разграничение) доступа к ресурсам системы;
• регистрация и анализ событий, происходящих в системе;
• криптографическое закрытие, контроль целостности и аутентичности данных, хранимых в АС и передаваемых по каналам связи;
• контроль целостности ресурсов системы». [С. 54-56, 13]

 

Эти универсальные  механизмы защиты обладают своими достоинствами  и недостатками и могут применяться  в различных вариациях и совокупностях  в конкретных методах и средствах  защиты.

Все известные  каналы проникновения и утечки информации должны быть перекрыты с учетом анализа риска, вероятностей реализации угроз безопасности в конкретной прикладной системе и обоснованного рационального уровня затрат на защиту.

Наилучшие результаты достигаются при системном подходе  к вопросам безопасности компьютерных систем и комплексном использовании определенных совокупностей различных мер защиты на всех этапах жизненного цикла системы начиная с самых ранних стадий ее проектирования.

Повышать уровень  стойкости системы защиты за счет применения более совершенных физических и технических средств можно только до уровня стойкости персонала из ядра безопасности системы.

На наш взгляд, в ближайшее время успех или  неудача масштабного применения систем защиты информации будет зависеть от наличия в них развитых средств управления режимами работы защитными механизмами, и реализации функций, позволяющих существенно упрощать процессы установки, настройки и эксплуатации средств защиты. [С. 253-254, 6]

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Библиографический список

1. Агеев А.С. Компьютерные вирусы и безопасность информации [Текст]: зарубежная радиоэлектроника/А.С. Агеев. – М., 1989. – 306с.

2. Анищенко B.B. Оценка информационной безопасности[Текст]:PC Magazine,/В.В. Анищенко. – М., 2000 – 200с.

3. Афанасьев В.Н. Общие критерии безопасности информационных систем [Текст]: международная студенческая школа-семинар "Новые информационные технологии"/В.Н. Афанасьев. - М., 2003. - 641с.

4. Герасименко В.А. Защита информации в автоматизированных системах обработки данных [Текст]: монография/ В.А. Герасименко. – М., 1994.- 513с.

5. Герасименко В.А. Технические средства защиты информации [Текст]: Зарубежная радиоэлектроника/ В.А. Герасименко, М.К. Размахнин, В.В.   Родионов. – М., 1989.- 567с.

6. Герасименко В.А. Основы теории управления качеством информации [Текст]:монография/ В.А. Герасименко. - М., 1989. – 384с.

7. Голубев В.В. Компьютерные преступления и защита информации в вычислительных системах [Текст]: Вычислительная техника и ее применение/, В.В. Голубев, П.А.Дубров, Г.А. Павлов. - М.:Знание, 1990. – 451с.

8. Давыдовский А.И. Введение в защиту информации [Текст]: монография/ А.И. Давыдовский, В.А. Максимов. – М.: Интеркомпьютер, 1990. – 127с.

9. Девянин П. Н. Модели безопасности компьютерных систем [илл.]:монография/ П. Н. Девянин. - М.: ИЦ «Академия», 2005. – 471с.

10. Домарев В. В. Словарь терминов по информационной безопасности [Текст]:монография/ В. В. Домарев. - Киев,2002, - 780с.

11. Калайда И. А. Современное состояние и направления совершенствования нормативной базы в области IT-безопасности [Текст]/ И. А. Калайда, А.П. Трубачев//Information Security/Информационная безопасность. - 2004. - №3. – С. 145-150

12. Колегов, Д. Н. Прикладная дискретная математика. Об использовании формальных моделей для анализа уязвимостей [Текст]:учеб.пособие для студ.обуч. по направлению прикладная дискретная математика/ Д. Н. Колегов - том -№1(3)., М., 2009. – 271с.

13.Трубачев А. П. Общие критерии оценки безопасности информационных технологий. Конфидент [Текст]/ А. П.Трубачев // Защита информации.- М. - 2002. - Март-апрель №2. С.54-56.

14. Хофман Л.Дж. Современные методы защиты информации [Текст]: монография/ Л.Дж. Хофман. - Пер. с англ.М.:Сов.радио,1980. - 264 с.

15. Ярочкин В.И. Безопасность информационных систем [Текст]: монография/ В.И. Ярочкин. -  М.: «Ось- 89», 1996. - 320с.

16. Свободная энциклопедия Википедия [электронный ресурс]. – текстовые дан. (103КБ). – М. – сор. 2007.- Режим доступа: http://ru.wikipedia.org/wiki/Модель_Белла-ЛаПадула

 

17. ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. -Госстандарт России, Москва, 2002.

18. ГОСТ Р ИСО/МЭК 15408-2-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт России, Москва, 2002.

19. ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. -Госстандарт России, Москва, 2002.

20. Основы информационной безопасности. Интернет-университет информационных технологий - ИНТУИТ.ру, 2003.