Модель системы безопасности с полным перекрытием

 

Основным положением данной модели является тезис (аксиома) о том, что система, спроектированная на основании модели безопасно­сти с полным перекрытием, должна иметь по крайней мере одно сред­ство (субъект) для обеспечения безопасности на каждом возможном пути проникновения в систему.

В модели точно определяется каждая область, требующая защиты (объект защиты), оцениваются средства обеспечения безопасности с точки зрения их эффективности и вклада в обеспечение безопасно­сти во всей ИС. Считается, что несанкциониро­ванный доступ к каждому из набора защищаемых объектов сопряжен с некоторой величиной ущерба и этот ущерб может (или не может) быть определен количественно. Если ущерб не может быть определен коли­чественно, то его полагают равным некоторой условной (как правило, средней) величине. Количественная характеристика ущерба может быть выражена в стоимостном (ценовом) эквиваленте либо в терминах, опи­сывающих системы (например, единицах времени, необходимых для достижения тех или иных характеристик ИС после злоумышленного воздействия). Ущерб может быть связан с целевой функцией системы (например, для финансовой системы ущерб от конкретного злоумыш­ленного действия есть сумма финансовых потерь участников системы).

С каждым объектом, требующим защиты, связывается некоторое множество действий, к которым может прибегнуть злоумышленник для получения несанкционированного доступа к объекту. Можно по­пытаться перечислить все потенциальные злоумышленные действия по отношению ко всем объектам безопасности для формирования набора угроз, направленных на нарушение безопасности. Основной характе­ристикой набора угроз является вероятность проявления каждого из злоумышленных действий. В любой реальной системе эти вероятности можно вычислить с ограниченной степенью точности.

 

Резюме по моделям анализа угроз

 

Основное преимущество метода моделирования состоит в возмож­ности численного получения оценки степени надежности системы за­щиты информации. Данный метод не специфицирует непосредственно модель системы защиты информации, а может использоваться только в сочетании с другими типами моделей систем защиты информации.

При синтезе систем защиты в ИС данный подход полезен тем, что позволяет минимизировать накладные расходы (ресурсы вычислитель­ной системы) для реализации заданного уровня безопасности. Модели данного типа могут использоваться при анализе эффективности внеш­них по отношению к защищаемой системе средств защиты информа­ции. При анализе систем защиты информации модели данного типа по­зволяют оценить вероятность преодоления системы защиты и степени ущерба системе в случае преодоления системы защиты.

 

Модели конечных состояний

 

Для математической модели конечных состояний системы безо­пасности может быть доказана основная теорема безопасности: если начальное состояние системы безопасно и все переходы сис­темы из состояния в состояние не нарушают ограничений, сформули­рованных политикой безопасности, то любое состояние системы безо­пасно.

 

Модель Белла-ЛаПадула

 

Модель Белла-ЛаПадула описывает систему аб­страктно, без связи с ее реализацией. В модели определяется множество ограничений на систему, реализация которых будет гарантировать некоторые свойства потоков информации, связанных с безопасностью. Модель включает:

 субъекты S – активные сущности в системе;

 объекты О – пассивные сущности в системе.

Субъекты и объекты имеют уровни безопасности. Уровни безо­пасности являются некоторой характеристикой субъектов и объектов, связанной, как правило, с целевой функцией системы (наиболее часто уровень безопасности связан с уровнем конфиденциальности инфор­мации); ограничения на систему имеют форму аксиом, которые кон­тролируют способы доступа субъектов к объектам. Эти аксиомы име­ют вид:

1. Запрет чтения информации субъектом с уровнем безопасности меньшим, чем у объекта, из которого информация читается (NO READ UP, “не читать ниже” – NRU).

2. Запрет записи информации субъектом с уровнем безопасности большим, чем у объекта, в который информация записывается (NO WRITE DOWN, “не записывать выше” – NWD).

Данные ограничения описывают безопасные состояния ИС, связанные с существованием потоков только от нижних уровней безо­пасности к высшим.

В отличие от дискретной модели безопасности модель Белла-ЛаПадула не определяет прав доступа для каждого пользователя. Это означает, что разные субъекты могут иметь один уровень полномочий. Данная модель служит основой для мандатной (полномочной) системы безопасности.

При строгой реализации модели Белла-ЛаПадула возникает ряд проблем.

1) Завышение уровня секретности – вытекает из одноуровневой природы объектов. Это означает, что некоторой информации может быть дан уровень секретности выше того, что она заслуживает. Пример – несекретный параграф в секретном сообщении.

2) Запись вслепую – это проблема вытекает из правила NRU. Рассмотрим ситуацию, когда субъект производит запись объекта с бо­лее высоким уровнем безопасности (эта операция не нарушает прави­ла NWD). Однако после завершения операции субъект не может прове­рить правильность выполнения записи объекта с помощью кон­трольного чтения, так как это нарушает правило NRU.

3) Удаленная запись – это проблема вытекает из правила NWD. Рассмотрим ситуацию, когда некоторый субъект осуществляет операцию чтения в распределенной системе. Такая операция возможна при вы­полнении правила NRU, так что уровень безопасности субъекта боль­ше уровня безопасности объекта. Однако в распределенных системах операция чтения инициируется запросом с одной компоненты на дру­гую, что можно рассматривать в данном случае как посылку сообще­ния от субъекта с более высоким уровнем безопасности к объекту с более низким уровнем, что является нарушением правила NWD.

4) Привилегированные субъекты – эта проблема связана с работой системного администратора. Функционирование системного админи­стратора подразумевает выполнение в системе таких критических опе­раций, как добавление и удаление пользователей, восстановление сис­темы после аварий, установка программного обеспечения, устранение ошибок и т.п. Очевидно, что такие операции не вписываются в мо­дель, что означает невозможность осуществления правильного администрирования без нарушения правил данной модели. Поэтому прави­ла модели Белла-ЛаПадула нужно рассматривать для множества всех субъектов, исключая привилегированные.