Моделі політики безпеки

Дискреційна політика безпеки

Основою дискреційної політики безпеки (ДПБ) є дискреційне управління доступом (Discretionary Access Control – DAC)

визначається властивостями

всі суб’єкти і об’єкти системи повинні бути однозначно
ідентифіковані

права доступу суб’єкта до об’єкта системи визначаються на основі деякого зовнішнього відносно системи правила і реалізуються шляхом безпосереднього звертання суб’єктів до об’єктів на основі певних атрибутів доступу

переваги

  1. відносно просту реалізацію та підтримку відповідних механізмів захисту. Саме цим обумовлений той факт, що більшість розповсюджених в теперешній час захищених ІТС забезпечують виконання положень ДПБ
  1. при її реалізації досягається велика економія пам’яті, оскільки матриця доступів звичайно буває дуже розрядженою, що дозволяє застосовувати техніку роботи з розрядженими матрицями

проблеми (недоліки)

Найбільш важливою вадою цього класу політик є те, що вони не витримують атак за допомогою «Троянського коня», оскільки вони контролюють лише операції доступу суб’єктів до об’єктів, а не інформаційні потоки. Тому, коли «троянський кінь» переносить інформацію з доступного користувачу об’єкта в об’єкт, доступний зловмиснику, формально правила не порушуються, проте витік інформації здійснюється. Це, зокрема, означає, що СЗІ, яка її реалізує, погано захищає від проникнення вирусів в систему і інших засобів прихованої руйнівної дії

Наступна проблема ДПБ – автоматичне визначення прав. Так як об’єктів багато і їх кількість безперервно змінюється, то задати заздалегідь вручну перелік прав кожного суб’єкта на доступ до об’єктів неможливо.

Ще одна з найважливішіх проблем при використанні ДПБ – це контроль розповсюдження прав доступу. Найчастіше буває, що власник файла передає вміст файла іншому користувачу і той, таким чином, фактично набуває права власника на цю інформацію

мандатна політика безпеки

Основу мандатної (повноважної) політики безпеки складає мандатне управління доступом
(Mandatory Access Control – MAC), яке має на увазі, що:

всі суб’єкти і об’єкти повинні бути однозначно ідентифіковані

задано лінійно упорядкований набір міток таємності

кожному об’єкту системи привласнена мітка таємності, яка визначає цінність інформації, що міститься в ньому – його рівень таємності в ІТС

кожному суб’єкту системи привласнена мітка таємності, яка визначає рівень довіри до нього в ІТС – максимальне значення мітки таємності об’єктівдо яких суб’єкт має доступ

мітка таємності суб’єкта називається його рівнем доступу

доступ суб’єкта до об’єкта здійснюється шляхом порівняння їх міток таємності

Мандатний контроль ще називають обов’язковим, так як його має проходити кожне звернення суб’єкта до об’єкта, якщо вони знаходяться під захистом СЗІ

переваги

більш високий ступінь надійності

Це пов’язано з тим, що за правилами МПБ відстежуються не тільки правила доступу суб’єктів системи до об’єктів, але і стан самої АС. Таким чином, канали витоку в системах такого типу не закладені первісно (що є в положеннях ДПБ), а можуть виникнути тільки за практичної реалізації систем внаслідок помилок розробника

Правила МПБ більш ясні і прості для розуміння розробниками і користувачами ІТС, що також є фактором, що позитивно впливає на рівень безпеки системи

МПБ стійка до атак типу «Троянський кінь»

МПБ допускає можливість точного математичного доказу, що дана система в заданих умовах підтримує ПБ

проблеми (недоліки)

вона є винятково складною для практичної реалізації і вимагає значних ресурсів обчислювальної системи.

Це пов’язано з тим, що інформацйних потоків в системі величезна кількість і їх не завжди можна ідентифікувати

рольова політика безпеки

не можна віднести ані до дискреційної, ані до мандатної

керування доступом в ній здійснюється як на основі матриці прав доступу для ролей, так і за допомогою правил, які регламентують призначення ролей користувачам та їх активацію під час сеансів

поняття суб’єкт заміщується поняттями
користувач і роль

Користувач – це людина, яка працює з
системою і виконує певні службові обов’язки

Роль – це активно діюча в системі абстрактна суттєвість, з якою пов’язаний обмежений, логично зв’язаний набір повноважень, які необхідні для здійснення певної діяльності

властивості

всі суб’єкти і об’єкти повинні бути однозначно ідентифікован

визначено набір ролей в системі

кожній ролі встановлено певний обсяг повноважень

доступ суб'єктів до об'єктів здійснюється за допомогою певних правил в рамках певної ролі

множини

(U) множина користувачів

(P) множина повноважень на доступ до об'єктів, що представляється у вигляді прав доступу

(R) множина ролей

(S) множина сеансів роботи користувачів з системою

критерій безпеки рольової моделі

система вважається безпечною, якщо будь-який користувач системи u, що працює в сеансі s, може здійснити дії, які вимагають повноважень р тільки в тому випадку, коли р∈permissions(s)

монітор безпеки

компонента КС, яка активізується при виникнення будь-якого потоку від одного об’єкта до іншого і дозволяє реалізуватися потокам, що належать тільки множині легального доступу L

повністю приймає участь у потоці від об’єкта до об’єкта і основна його цільова функція – фільтрація інформаційних потоків для забезпечення безпеки КС, тобто фактично – це механізм реалізації ПБ в КС

Множина об’єктів, що входять до складу МБ як компоненти КС, повинна містити підмножину процесів, з якими повинні бути асоційовані всі інші об’єкти КС, і, звичайно, хоча б одного користувача. Всі об’єкты КС повинні бути асоційованими з цім користувачем (якого зазвичай називають адміністратором безпеки)

Вибір методів і механізмів залишається за розробником і єдиноювимогою є реалізація функції захисту, причому для МБ повинні виконуватися наступні загальні вимоги

мати невеликі (відносно) розміри

бути достовірним (захищеним від модифікацій)

МБ повинен забезпечувати неперервний і повний захист

властивості

при реалізації будь-якої ПБ найважливішим кроком є ідентифікація всіх об’єктів КС. При цьому повинна мати
місце унікальність імен об’єктів, що дозволяє реалізувати механізм ідентифікації і автентифікації (ІА)

неможливість доступу до об’єктів без участі МБ: якщо в ∀𝑡∈ 𝑁0 для ∀𝑝∈ 𝐴 об’єкт O𝑖 ∈ 𝑂t отримав в момент t доступ O𝑖 𝑂𝑗 𝑝, O𝑗 ∈ 𝑂t, то ∃k > 0, 𝑘 ∈ 𝑁0 таке, що в момент t-k, t − 𝑘 ∈ 𝑁0 відбувся запит на доступ, який позначатимемо O𝑖 𝑂𝑗 𝑝? (відсутність необхідних шляхів). Запит на доступ можна також вважати одним з видів доступу від об’єкта O𝑖 до інших об’єктів. Очевидно, що в якості об’єктів-отримувачів доступу до O𝑖 повинні виступати лише активні об’єкти U𝑖 ∈ U, i = 1, … , 𝑁U і P𝑗 ∈ P, j = 1, … , 𝑁P

обов’язкова наявність механізму IA: якщо для ∀𝑡∈ 𝑁0, ∀𝑝⊆ 𝐴, ∀O𝑖, O𝑗 ∈ O𝑡 має місце O𝑖 𝑝?𝑂𝑗, то МБ однозначно визначає належність O𝑖 і 𝑂𝑗 до відповідних множин U, P або O

обов’язкова присутгість в МБ дозвільного механізму