Сборник информационных материалов по курсу

Сборник информационных материалов по курсу

«Защита информации и информационная безопасность»

Вопрос 1.

Современные программные угрозы информационной безопасности. Компьютерные вирусы. Троянские кони. Средства взлома сетей.

Основные понятия безопасности компьютерных систем.

В настоящее время благополучие и даже жизнь многих людей зависят от обеспечения информационной безопасности множества компьютерных систем обработки информации, а также контроля и управления различными объектами. К таким объектам (их называют критическими) можно отнести системы телекоммуникаций, банковские системы, атомные станции, системы управления воздушным и наземным транспортом, а также системы обработки и хранения секретной и конфиденциальной информации. Для нормального и безопасного функционирования этих систем необходимо поддерживать их безопасность и целостность. Под безопасностью информации понимается "состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз. Целостность понимается как "способность средств вычислительной техники или автоматизированной системы обеспечивать неизменность вида и качества информации в условиях случайного искажения или угрозы разрушения". Угрозы безопасности и целостности состоят в потенциально возможных воздействиях на вычислительную систему (ВС), которые прямо или косвенно могут нанести ущерб безопасности и целостности информации, обрабатываемой системой. Ущерб целостности информации состоит в ее изменении, приводящем к нарушению ее вида или качества. Ущерб безопасности подразумевает нарушение состояния защищенности содержащейся в ВС информации путем осуществления несанкционированного доступа (НСД) к объектам ВС. НСД определяется как "доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых ВС". Введем более простое определение НСД, не противоречащее: НСД заключается в получении пользователем или программой доступа к объекту, разрешение на который в соответствии с принятой в системе политикой безопасности отсутствует. Реализация угрозы называется атакой. Человек, стремящийся реализовать угрозу, называется нарушителем, или злоумышленником.

Существует множество классификаций видов угроз по принципам и характеру их воздействия на систему, по используемым средствам, по целям атаки и т. д. Рассмотрим общую классификацию угроз безопасности ВС по средствам воздействия на ВС. С этой точки зрения все угрозы могут быть отнесены к одному из следующих классов:

1. Вмешательство человека в работу ВС. К этому классу относятся организационные средства нарушения безопасности ВС (кража носителей информации, НСД к устройствам хранения и обработки информации, порча оборудования и т. д.) и осуществление нарушителем НСД к программным компонентам ВС (все способы несанкционированного проникновения в ВС, а также способы получения пользователем-нарушителем незаконных прав доступа к компонентам ВС). Меры, противостоящие таким угрозам, носят организационный характер (охрана, режим доступа к устройствам ВС), а также включают в себя совершенствование систем разграничения доступа и системы обнаружения попыток атак (например, попыток подбора паролей).

2. Аппаратно-техническое вмешательство в работу ВС. Имеется в виду нарушение безопасности и целостности информации в ВС с помощью технических средств, например, получение информации по электромагнитному излучению устройств ВС, электромагнитные воздействия на каналы передачи информации и другие методы. Защита от таких угроз, кроме организационных мер, предусматривает соответствующие аппаратные (экранирование излучений аппаратуры, защита каналов передачи информации от прослушивания) и программные меры (шифрация сообщений в каналах связи).

3. Разрушающее воздействие на программные компоненты ВС с помощью программных средств. Логично назвать такие средства разрушающими программными средствами (РПС). К ним относятся компьютерные вирусы, троянские кони (иногда их называют "закладки"), средства проникновения в удаленные системы с использованием локальных и глобальных сетей. Средства борьбы с подобными атаками состоят из программно и (реже) аппаратно реализованных систем защиты.

Компьютерные вирусы.

Компьютерный вирус — одно из интереснейших явлений, которые мы можем наблюдать в результате развития компьютерной и информационной техники. Суть его сводится к тому, что программы приобретают свойства, присущие живым организмам, причем самые неотъемлемые — они рождаются, размножаются, умирают.

Главное условие существования вирусов — универсальная интерпретация информации в вычислительных системах. Вирус в процессе заражения программы может интерпретировать ее как данные, а в процессе выполнения как исполняемый код. Этот принцип был положен в основу всех современных компьютерных систем, использующих архитектуру фон Неймана.

Дать формальное определение понятию "компьютерный вирус" очень непросто. Традиционное определение, данное Ф. Коэном, "компьютерный вирус — это программа, которая может заражать другие программы, модифицируя их посредством добавления своей, возможно измененной, копии", при детальном разборе ставит в тупик: непонятно, что это за "копия", если она не совпадает с оригиналом. Однако, совершенно очевидно, что ключевым понятием в определении вируса является его способность к саморазмножению, — это единственный критерий, позволяющий отличить программы-вирусы от остальных программ. При этом "копии" вируса действительно могут структурно и функционально отличаться между собой. Можно дать вирусу рекурсивное определение типа: "вирус— это программа, которая порождает другие вирусы", однако оно рекурсивно неразрешимо. Таким образом, мы сталкиваемся с почти философской проблемой: как определить объекты, ключевым свойством которых является порождение себе подобных, причем подобие определяется с помощью того же свойства — порождать себе подобных и т. д. и т.п. Выход состоит в установлении отношения подобия вируса и его копии с помощью набора отношений эквивалентности, относящихся к структуре, содержанию, алгоритму вируса, имеющих смысл для заданной операционной системы и компьютера. Правда, такое определение будет не совсем точным: множество вирусов будет ограничиваться классами эквивалентности, задаваемых этими отношениями, но более точного определения дать не удается.

История компьютерных вирусов начинается еще с работ теоретика современных компьютеров фон Неймана. Он разрабатывал модели автоматов, способных к самовоспроизведению, и математически доказал возможность существования таких машин. После этого идея саморазмножающихся программ "витала в воздухе" и время от времени находила свою более или менее адекватную реализацию.

С каждым годом число вирусов растет. Сейчас их уже более 7000. Считается признанным, что в последние годы больше всего вирусов создавалось в СССР, а затем в России и других странах СНГ. Но и в других странах, в том числе в США, значителен урон, наносимый вирусами. В США борьба с вирусами ведется на самом высоком уровне. Вскоре после объявления в 1993 году Белым домом о подключении президента Билла Клинтона и вице-президента Альберта Гора к сети Internet администрация поддержала идею проведения Национального дня борьбы с компьютерными вирусами(National Computer Virus Awareness Day). Такой день отмечается теперь ежегодно. Национальной ассоциацией по компьютерной защите США (NCSA) и компанией Dataquest опубликованы следующие данные по результатам исследованийг вирусной проблемы (данные 1993 г.):

63% опрошенных пострадали от компьютерных вирусов;

предполагаемые потери американского бизнеса от компьютерных вирусов в 1994 году составят около 2 млрд. долларов;

идентифицировано более 2100 компьютерных вирусов;

каждый месяц появляется более 50 новых вирусов;

в среднем от каждой вирусной атаки страдает 142 персональных компьютера: на ее отражение в среднем уходит 2,4 дня;

для компенсации ущерба в 1/4 случаев требовалось более 5 дней.

 

Начиная с конца 1990 г., появилась новая тенденция, получившая название "экспоненциальный вирусный взрыв". Количество новых вирусов, обнаруживаемых в месяц, стало исчисляться десятками, а в дальнейшем и сотнями. Поначалу эпицентром этого взрыва была Болгария, затем он переместился в Россию. После 1994 г. темп роста вирусов пошел на убыль, хотя их общее количество продолжает увеличиваться. Это связано с тем, что ОС MS DOS, которая и дает 99% существующих компьютерных вирусов, постепенно сдает свои лидирующие позиции как операционная система для персональных компьютеров, уступая их Windows, OS/2, UNIX и т.п.

Современная ситуация характеризуется двумя моментами: появлением полиморфных вирусов и генераторов (конструкторов) вирусов.

Полиморфные вирусы характеризуются тем, что для их обнаружения неприменимы обычные алгоритмы поиска, так как каждая новая копия вируса не имеет со своим родителем ничего общего. Это достигается шифровкой тела самого вируса и расшифровщиком, не имеющим ни одного постоянного бита в каждом своем экземпляре. На сегодняшний день известно около десятка алгоритмов (вирусов намного больше!) генерации таких расшифровщиков.

Появление генераторов вирусов позволяет, задав программе-генератору в виде входных параметров способ распространения, тип, вызываемые эффекты, причиняемый вред, получить ассемблерный текст нового вируса. На сегодняшний день известно около пяти таких генераторов вирусов.

Кроме того, вирусы постоянно расширяют свою "среду обитания" и реализуют принципиально новые алгоритмы внедрения и поведения. Так, в 1995 году появились представители, опровергающие ключевые принципы антивирусной защиты — то, что компьютер, загруженный с заведомо чистой системной дискеты, не может содержать вирус; и то, что вирусы не заражают файлы с данными.

Первым появился вирус, который таким образом корректирует конфигурацию компьютера, что при попытке загрузки с дискеты он все равно загружается с зараженного жесткого диска, и вирус активизируется в системе.

Другой вирус, появившийся в середине августа 1995 г. в США и ряде стран Западной Европы, использует современные технологии представления информации в виде конгломерата данных и программ. Он заражает документы, подготовленные в системе MS Word for Windows 6.0 — файлы типа.DOC. Так как такие файлы ежедневно десятками тысяч циркулируют в локальных и глобальных сетях, эта способность вируса обеспечила его мгновенное распространение по всему свету в течение нескольких дней и 25 августа он был обнаружен в Москве. Вирус написан на макроязыке пакета Word. Вирус переносит себя в область глобальных макросов, переопределяет макрос FileSaveAs и копирует себя в каждый файл, сохраняемый с помощью команды Save As. При этом он переводит файл из категории "документ" в категорию "шаблон", что делает невозможным его дальнейшее редактирование. Обнаружить наличие этого вируса можно по появлению в файле winword6.ini строки ww6i=1.

 

Угроза раскрытия

Угроза раскрытия заключается том, что информация становится известной тому, кому не следовало бы ее знать. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен доступ к некоторой секретной информации, хранящейся в вычислительной системе или передаваемая от одной системы к другой. Иногда в связи с угрозой раскрытия используется термин "утечка".

За последние два десятилетия в сферах компьютерной безопасности большое внимание уделялось угрозе раскрытия. Фактически, подавляющее большинство исследований и разработок в области компьютерной безопасности было сосредоточено на угрозах раскрытия. Одной из причин этого являлось значение, которое правительства придавали противостоянию этой угрозе.

Угроза целостности

Угроза целостности включает в себя любое умышленное изменение информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую. Когда взломщики преднамеренно изменяют информацию, мы говорим, что целостность этой информации нарушена. Целостность также будет нарушена, если к несанкционированному изменению приводит случайная ошибка. Санкционированными изменениями являются те, которые сделаны определенными лицами с обоснованной целью (таким изменением является периодическая запланированная коррекция некоторой базы данных).

До недавнего времени условно считалось, что правительства сосредотачивались на раскрытии, а деловые круги касались целостности. Однако, обе эти среды могли бы быть более или менее связаны каждой из двух угроз в зависимости от приложения. Например, планы правительственных сражений и коммерческие рецепты безалкогольных напитков должны быть защищены от обоих типов угроз.

Угроза отказа служб

Угроза отказа служб возникает всякий раз, когда в результате преднамеренных действий, предпринятых другим пользователем, умышленно блокируется доступ к некоторому ресурсу вычислительной системы. То есть, если один пользователь запрашивает доступ к службе, а другой предпринимает что-либо для недопущения этого доступа, мы говорим, что имеет место отказ службы. Реально блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан.

Субъекты, объекты и доступ

Под сущностью мы будем понимать любую именованную составляющую компьютерной системы.

Субъект будет определяться как активная сущность, которая может инициировать запросы ресурсов и использовать их для выполнения каких-либо вычислительных заданий. Под субъектами мы будем обычно понимать пользователя, процесс или устройство.

Объект будет определяться как пассивная сущность, используемая для хранения или получения информации. Примеры объектов: записи, блоки, страницы, сегменты, файлы, директории, биты, байты, слова, терминалы, узлы сети и т.д.

Хотя основную концепцию идентификации субъектов и объектов в системе описать просто, при практической реализации часто бывает не тривиальной задачей определить: что есть субъект, а что — объект. Например, в ОС процессы, конечно, являются субъектами, в то время как файлы и связанные с ними директории — объектами. Однако, когда субъекты получают коммуникационные сигналы от других субъектов, встает вопрос, рассматривать ли их как субъекты или же, как объекты.

Обозначим в дальнейших рассуждениях произвольное множество субъектов при помощи символа S, а произвольное множество объектов при помощи символа О.

В процессе исполнения субъекты исполняют операции. При исполнении субъектами операций происходит взаимодействие субъектов и объектов. Такое взаимодействие называется доступом. Доступ — это взаимодействие между субъектом и объектом, в результате которого происходит перенос информации между ними. Существуют две фундаментальные операции, переносящие информацию между субъектами и объектами. Под операцией чтения понимается операция, результатом которой является перенос информации от объекта к субъекту. Под операцией записи понимается операция, результатом которой является перенос информации от объекта к субъекту. Данные операции являются минимально необходимым базисом для описания широкого круга моделей, описывающих защищенные системы.

Вопрос 4.

Понятие удаленной атаки

Основой любого анализа безопасности компьютерных систем (КС) является знание основных угроз, присущих им. Для успеха подобного анализа представляется необходимым выделение из огромного числа видов угроз обобщенных типов угроз, их описание и классификация. Известны различные обобщенные классификации угроз, в которых предлагаются те или иные классификационные признаки, позволяющие с той или иной степенью точности характеризовать угрозы безопасности КС.

В настоящем разделе предлагается следующий подход к анализу безопасности КС — выделение в отдельный класс атак, направленных на компьютерные сети. Данный класс назовем — класс удаленных атак. Этот подход к классификации представляется правомочным из-за наличия принципиальных особенностей в построении сетевых ОС. Основной особенностью любой сетевой операционной системы является то, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений (коаксиальный кабель, витая пара, оптоволокно и т.д.) и программно при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые одной компонентой сетевой ОС другой компоненте, передаются по сетевым соединениям в виде пакетов обмена. Эта особенность и является основной причиной появления нового класса угроз — класса удаленных атак. Как уже подчеркивалось, что основная причина нарушения безопасности сетевой ОС — недостаточная идентификация и аутентификация ее удаленных компонент. Далее рассмотрим классификацию удаленных атак.

Классификация удаленных атак на сети ЭВМ.

Удаленные атаки можно классифицировать по следующим признакам:

 

1. По характеру воздействия

активное

пассивное

Под активным воздействием на сетевую систему понимается воздействие, оказывающее непосредственное влияние на работу сети (изменение конфигурации сети, нарушение работы сети и т.д.) и нарушающее политику безопасности, принятую в системе [1]. Практически все типы удаленных атак являются активными воздействиями. Основная особенность удаленного активного воздействия заключается в принципиальной возможности его обнаружения (естественно, с большей или меньшей степенью сложности).

Пассивным воздействием на сетевую систему назовем воздействие, которое не оказывает непосредственного влияния на работу сети, но может нарушать ее политику безопасности. Именно отсутствие непосредственного влияния на работу сети приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить. Единственным примером пассивного типового удаленного воздействия служит прослушивание канала в сети.

2. По цели воздействия

перехват информации

искажение информации

Основная цель практически любой атаки — получить несанкционированный доступ к информации. Существуют две принципиальных возможности доступа к информации: перехват и искажение. Возможность перехвата информации означает получение к ней доступа, но невозможность ее модификации. Примером перехвата информации может служить прослушивание канала в сети. В этом случае имеется несанкционированный доступ к информации без возможности ее искажения.

Возможность к искажению информации означает полный контроль над информационным потоком. То есть, информацию можно не только прочитать, как в случае перехвата, а иметь возможность ее модификации. Примером удаленной атаки, позволяющей модифицировать информацию, может служить ложный сервер.

Рассмотренные выше три классификационных признака инвариантны по отношению к типу атаки, будь то удаленная или локальная атака. Следующие классификационные признаки (за исключением 3), которые будут рассмотрены ниже, имеют смысл только для удаленных воздействий.

3. По условию начала осуществления воздействия

Удаленное воздействие, также как и любое другое, может осуществляться при определенных условиях. В сетях ЭВМ могут существовать три вида условий начала осуществления атаки:

— атака по запросу от атакуемого объекта. В этом случае атакующая программа, запущенная на сетевом компьютере, ждет посылки от потенциальной цели атаки определенного типа запроса, который и будет условием начала осуществления атаки. Примером подобных запросов в ОС Novell NetWare может служить SAP-запрос, а ОС UNIX — DNS- и ARP-запрос.

— атака по наступлению определенного события на атакуемом объекте. В случае удаленной атаки подобного рода атакующая программа ведет наблюдение за состоянием операционной системы удаленного компьютера и при возникновении определенного события в системе начинает осуществление воздействия. В этом, как и в предыдущем случае, инициатором осуществления начала атаки выступает сам атакуемый объект. Примером такого события может быть прерывание сеанса работы пользователя с сервером в ОС Novell NetWare без выдачи команды LOGOUT (например, путем отключения питания на рабочей станции).

— безусловная атака. В этом случае начало осуществления атаки безусловно по отношению к цели атаки. То есть атака осуществляется немедленно после запуска атакующей программы а, следовательно, она и является инициатором начала осуществления атаки.

4. По расположению субъекта атаки относительно атакуемого объекта

— внутрисегментное

— межсегментное

Рассмотрим ряд определений:

Субъект атаки (или источник атаки) — это атакующая программа, осуществляющая воздействие. Хост (host) — сетевой компьютер. Маршрутизатор (router) — устройство, обеспечивающее маршрутизацию пакетов обмена в глобальной сети.

Подсеть (subnetwork) (в терминологии Internet) — совокупность хостов, являющихся частью глобальной сети, для которых маршрутизатором выделен одинаковый номер подсети. Подсеть — логическое объединение хостов маршрутизатором. Хосты внутри одной подсети могут взаимодействовать между собой непосредственно, минуя маршрутизатор.

Сегмент сети — физическое объединение хостов. Например, сегмент сети образуют совокупность хостов, подключенных к серверу по схеме общая шина. При такой схеме подключения каждый хост имеет возможность подвергать анализу любой пакет в своем сегменте.

С точки зрения удаленной атаки чрезвычайно важно как по отношению друг к другу располагаются субъект и объект атаки, то есть в одном или в разных сегментах они находятся. В случае внутрисегментной атаки, как следует из названия, субъект и объект атаки находятся в одном сегменте. При межсегментной атаке субъект и объект атаки находятся в разных сегментах.

Данный классификационный признак позволяет судить о так называемой "степени удаленности" атаки. В дальнейшем, будет показано, что на практике межсегментную атаку осуществить на порядок труднее, чем внутрисегментную.

5. По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие

— физический

— канальный

— сетевой

— транспортный

— сеансовый

— представительный

— прикладной

Международная Организация по Стандартизации (ISO) приняла стандарт ISO 7498, описывающий взаимодействие открытых систем (OSI). Сетевые ОС также являются открытыми системами. Любой сетевой протокол обмена, также как и любую сетевую программу можно с той или иной степенью условности спроецировать на эталонную семиуровневую модель OSI. Такая многоуровневая проекция позволит описать в терминах модели OSI функции, заложенные в сетевой протокол или сетевую программу. Удаленная атака также является сетевой программой. В связи с этим представляется логичным рассматривать удаленные атаки на сетевые ОС, проецируя их на эталонную модель ISO/OSI.

Вопрос 5.

Модели дискретного доступа

В основе моделей дискретного доступа (DAC) с различными модификациями лежат следующие идеи. Система защиты представляется в виде некоторого декартова произведения множеств, составными частями которых

являются интересующие автора модели составные части системы защиты, например: субъекты, объекты, уровни доступа, операции и т.д. В качестве математического аппарата выбирается аппарат теории множеств. Рассмотрим эти модели подробнее.

Одна из первых моделей безопасности была модель АДЕПТ-50. В ней представлено четыре типа сущностей: пользователи (u), задания (j), терминалы (t) и файлы(f), причем каждая сущность описывается тройкой (L, F, М), включающим параметры безопасности:

Уровень безопасности L — скаляр — элементы из набора иерархически упорядоченных уровней безопасности.

Полномочия F— группа пользователей, имеющих право на доступ к определенному объекту.

Режим М — набор видов доступа, разрешенных к определенному объекту или осуществляемых объектом. Пример: ЧИТАТЬ ДАННЫЕ, ПРИСОЕДИНЯТЬ ДАННЫЕ, ИСПОЛНИТЬ ПРОГРАММУ.

Если U={u} обозначает набор всех пользователей, известных системе, a F(i) — набор всех пользователей, имеющих право использовать объект i, то для модели формулируются следующие правила:

1. Пользователь u получает доступ к системе Û uÎY.

2. Пользователь и получает доступ к терминалу t Û uÎF(t), т.е. в том и только в том случае, когда пользователь и имеет право использовать терминал t.

3. Пользователь и получает доступ к файлу j Û A(j)³A(f), C(j)ÊC(f), M(j)ÊM(f) и uÎF(f), т.е. только в случае:

привилегии выполняемого задания шире привилегий файла или равны им; пользователь является членом F(f). Трехмерный кортеж безопасности, полученный на основе прав задания, а не прав пользователя, используется в модели для управления доступом. Такой подход обеспечивает однородный контроль права на доступ над неоднородным множеством программ и данных, файлов, пользователей и терминалов. Например, наивысшим полномочием доступа к файлу для пользователя "СОВ. СЕКРЕТНО", выполняющего задание с "КОНФИДЕНЦИАЛЬНОГО" терминала будет "КОНФИДЕНЦИАЛЬНО".

Теперь рассмотрим модель, называемую пятимерным пространством безопасности Хартстона. В данной модели используется пятимерное пространство безопасности для моделирования процессов установления полномочий и организации доступа на их основании. Модель имеет пять основных наборов:

А — установленных полномочий;

U — пользователей;

Е — операций;

R — ресурсов;

S — состояний;

Область безопасности будет выглядеть как декартово произведение: A´U´E´R´S.

Доступ рассматривается как ряд запросов, осуществляемых пользователями u для осуществления операции e над ресурсами R, в то время, когда система находится в состоянии s. Например, запрос на доступ представляется четырехмерным кортежем q=(u, e, R, s), uÎU, еÎЕ, sÎS, rÎR. Величины u и s задаются системой в фиксированном виде. Таким образом, запрос на доступ — подпространство четырехмерной проекции пространства безопасности. Запросы получают право на доступ в том случае, когда они полностью заключены в соответствующие подпространства.

Процесс организации доступа можно описать алгоритмически следующим образом. Для запроса q, где q (u, e, R, s), набора U' вполне определенных групп пользователей, набора R' вполне определенных единиц ресурсов и набора Р правильных (установленных) полномочий, процесс организации доступа будет состоять из следующих процедур:

1. Вызвать все вспомогательные программы, необходимые для "предварительного принятия решений".

2. Определить из U те группы пользователей, к которым принадлежит u. Затем выбрать из Р спецификации полномочий, которым соответствуют выделенные группы пользователей. Этот набор полномочий F(u) определяет привилегию пользователя u.

3. Определить из Р набор F(e) полномочий, которые устанавливают e как основную операцию. Этот набор называется привилегией операции е.

4. Определить из Р набор F(R) (привилегию единичного ресурса R) — полномочия, которые определяют поднабор ресурсов из R', имеющего общие элементы с запрашиваемой единицей ресурса R.

Полномочия, которые являются общими для трех привилегий в процедурах 2, 3, 4 образуют D(q), так называемый домен полномочий для запроса

q: D(q)=F(u)ÇF(e)F(R)

5. Удостовериться, что запрашиваемый ресурс R полностью включается в D(q), т.е. каждый элемент из R должен содержаться в некоторой единице ресурса, которая определена в домене полномочий D(q).

6. Осуществить разбиение набора D(q) на эквивалентные классы так, чтобы два полномочия попадали в эквивалентный класс тогда и только тогда, когда они специфицируют одну единицу ресурса. Для каждого такого класса логическая операция ИЛИ (или И) выполняется с условиями доступа элементов каждого класса.

Новый набор полномочий — один на каждую единицу ресурса, указанную в D(q), есть F(u, q) — фактическая привилегия пользователя и по отношению к запросу q.

7. Вычислить ЕАС — условие фактического доступа, соответствующего запросу q, осуществляя логическое И (или ИЛИ) над условиями доступа членов F(u, q).Это И (или ИЛИ) выполняется над всеми единицами ресурсов, которые перекрывают единицу запрошенного ресурса.

8. Оценить ЕАС и принять решение о доступе: разрешить доступ к R, если R перекрывается;

- отказать в доступе в противном случае.

9. Произвести запись необходимых событий.

10. Вызвать все программы, необходимые для организации доступа после "принятия решения".

11. Выполнить все вспомогательные программы, вытекающие для каждого случая из условия 8.

12. Если решение о доступе было положительным — завершить физическую обработку.

Автор модели, Хартстон, отмечает, что приведенная последовательность шагов не всегда необходима в полном объеме. Например, в большинстве реализаций шаги 2 и 6 осуществляются во время регистрации пользователя в системе.

К достоинствам моделей дискретного доступа можно отнести относительно простую реализацию. В качестве примера реализаций данного типа моделей можно привести так называемую матрицу доступа, строки которой соответствуют субъектам системы, а столбцы — объектам; элементы матрицы характеризуют права доступа.

К недостаткам относится "статичность моделей. Это означает то, что модель не учитывает динамику изменений состояния ВС, не накладывает ограничений на состояния системы.

 

Модели мандатного доступа

Описанные в параграфе модели дискретного доступа обеспечивают хорошо гранулированную защиту, но обладают рядом недостатков. В частности, в системах, построенных на основе DAC, существует проблема троянских программ. Троянскую программу следует определять как любую программу, от которой ожидается выполнение некоторого желаемого действия, а она на самом деле выполняет какое-либо неожиданное и нежелательное действие. Так, троянская программа может выглядеть как вполне хороший продукт, но реально она может оказаться даже более опасной, чем можно было бы ожидать.

Для того, чтобы понять, как может работать такой троянский конь, вспомним, что когда пользователь вызывает какую-либо программу на компьютере, в системе инициируется некоторая последовательность операций, зачастую скрытых от пользователя. Эти операции обычно управляются операционной системой. Троянские программы рассчитывают на то, что когда пользователь инициирует такую последовательность, то он обычно верит в то, что система произведет ее как полагается. При этом, нарушитель может написать версию троянской программы, которая будучи запущенной от имени пользователя-жертвы, передаст его информацию пользователю нарушителю.

В отличие от DAC, который позволяет передавать права от одного пользователя другому без всяких ограничений, мандатный доступ (MAC) накладывает ограничения на передачу прав доступа от одного пользователя другому. Это позволяет разрешить проблему троянских коней.

Классической моделью, лежащей в основе построения многих систем MAC и породившей остальные модели MAC, является модель Белла и Лападула.

Модель Белла и Лападула

Модель, получившая название модели Белла и Лападула (БЛМ) до сих пор оказывает огромное влияние на исследования и разработки в области компьютерной безопасности. Об этом свидетельствует огромное количество различных документов, ссылающихся в библиографии на первоначальную БЛМ. Данная модель лежит в основе построения MAC. Идеи, заложенные в БЛМ, могут быть использованы при построении различных политик безопасности.

Основным наблюдением, сделанным Беллом и Лападулой является то, что в правительстве США все субъекты и объекты ассоциируются с уровнями безопасности, варьирующимися от низких уровней (неклассифицированных) до высоких (совершенно секретные). Кроме того, они обнаружили, что для предотвращения утечки информации к неуполномоченным субъектам, этим субъектам с низкими уровнями безопасности не позволяется читать информацию из объектов с высокими уровнями безопасности. Это ведет к первому правилу БЛМ.

Простое свойство безопасности, также известное как правило «нет чтения вверх» (NRD), гласит, что субъект с уровнем безопасности x_s может читать информацию из объекта с уровнем безопасности x_o, только если x_s преобладает над x_o. Это означает, что если в системе, удовлетворяющей правилам модели БЛМ субъект с уровнем доступа секретный попытается прочитать информацию из объекта, классифицированного как совершенно секретный, то такой доступ не будет разрешен.

Белл и Лападула сделали дополнительное наблюдение при построении своей модели: в правительстве США субъектам не позволяется размещать информацию или записывать ее в объекты, имеющие более низкий уровень безопасности. Например, когда совершенно секретный документ помещается в неклассифицированное мусорное ведро, может произойти утечка информации. Это ведет ко второму правилу БЛМ.

Свойство-*, известное как правило "нет записи вниз" (NRD), гласит, что субъект безопасности x_s может писать информацию в объект с уровнем безопасности x_o только если x_o преобладает над x_s. Это означает, что если в системе, удовлетворяющей правилам модели БЛМ субъект с уровнем доступа совершенно секретный попытается записать информацию в неклассифицированный объект, то такой доступ не будет разрешен.

Правило запрета по записи является большим упрощением некоторых реализаций БЛМ. Так, некоторые описания включают более детальное понятие типа доступа (например, такие как добавление и выполнение). Помимо этого, многие модели БЛМ включают понятие дискретной защиты с целью обеспечения хорошо гранулированной защиты при сохранении всех преимуществ БЛМ.

Правила запрета по записи и чтению БЛМ отвечают интуитивным понятиям того, как предотвратить утечку информации к неуполномоченным источникам.

Рассмотрим формализацию БЛМ. В соответствии с определениями:

S — множество субъектов;

О — множество объектов;

L — решетка уровней безопасности;

F: SÈO®L — функция, применяемая к субъектам и объектам; определяет уровни безопасности своих аргументов в данном состоянии;

V — множество состояний — множество упорядоченных пар (F, М), где М — матрица доступа субъектов системы к объектам.

Система представляется начальным состоянием v, определенным множеством запросов R и функцией переходов T: (V´R)®V, такой что система переходит из состояния в состояние после исполнения запроса. Сформулируем определения, необходимые для доказательства основной теоремы безопасности (ОТБ), доказанной для БЛМ.

Определение 1. Состояние (F, М) безопасно по чтению (RS) тогда и только тогда, когда для "sÎS и для "oÎO, чтение Î M[s, о] ® F(s)³F(o).

Определение 2. Состояние (F, М) безопасно по записи (WS, *-свойство) тогда и только тогда, когда для "sÎS и для "oÎO, запись Î M[s, о] ® F(o)³F(s)

Определение З. Состояние безопасно тогда и только тогда, когда оно безопасно по чтению и по записи.

Определение 4. Система (v_o, R, Т) безопасна тогда и только тогда, когда состояние v_o безопасно и любое состояние, достижимое из v_o после исполнения конечной последовательности запросов из R безопасны в смысле определения 3.