Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow ЗАЩИТА ИНФОРМАЦИИ: ОСНОВЫ ТЕОРИИ
Посмотреть оригинал

Требования к построению системы защиты информации

К сожалению, при решении этой задачи построения СЗИ какая-либо формализация подходов к проектированию системы защиты не представляется возможной. Вместе с тем формирование подобных требований интуитивно понятно, что проиллюстрируем далее.

Сначала, с учетом сказанного ранее, сформулируем общие требования к построению СЗИ базового уровня защиты.

Требование. Система ЗИ должна реализовывать ролевую и (или) сессионную модель контроля доступа.

Требование. Роли и (или) сессии должны идентифицироваться учетными записями пользователей, при этом не должна предоставляться возможность работы пользователя в различных ролях и (или) сессиях под одной и той же учетной записью.

Данное требование сформулировано в предположении о том, что собственно ОС и используемые приложения не реализуют метод ролевого и (или) сессионного контроля доступа, для которых разграничительная политика доступа создается не для учетных записей, а для специально используемых для этого сущностей «роль» («сессия»).

Требование. Права доступа должны присваиваться в виде правил доступа субъектам, а не назначаться в качестве атрибутов доступа объектам.

Требование. Основу реализации сессионного контроля доступа должна составлять реализация метода мандатного контроля доступа к создаваемым объектам (файлам), при этом назначение прав доступа состоит из назначения меток безопасности учетным записям, которые наследуются создаваемыми объектами.

Требование. Сущность «субъект доступа» при реализации ролевой модели контроля доступа должна расширяться использованием в ней имени процесса — полного имени исполняемого файла процесса. При этом субъект доступа должен задаваться следующим образом: «учетная запись интерактивного пользователя, процесс», что позволяет задавать правила доступа к соответствующему ресурсу для процессов, запущенных одним пользователем, для усечения их нрав доступа в рамках роли (сессии).

Требование. Должна предоставляться возможность задания как субъектов, так и объектов масками и переменными среды окружения, в том числе маской «*» (любой) и масками, позволяющими реализовать контроль доступа к файлам по их расширениям, имеющими следующий вид «*.Имя расширения файла» (например, «*.ехе»).

Такая возможность позволит в значительной мере упростить задачу администрирования, в том числе за счет возможности тиражирования настроек, а также существенно расширить возможности разграничительной политики доступа реализацией управления потоками обработки данных, идентифицируемых расширениями файлов, в которых они сохраняются.

Требование. Ко всем ресурсам (объектам доступа), используемым в разграничительной политике доступа, должны разграничиваться права доступа — соответствующими средствами защиты в составе СЗИ должна реализовываться матрица контроля доступа. Набор средств в составе СЗИ должен быть достаточен для реализации соответствующей ролевой и (или) сессионной модели контроля доступа.

Требование. В СЗИ должны реализовываться методы контроля доступа как к статичным, так и к создаваемым объектам.

Методы контроля доступа к создаваемым объектам должны реализовываться в части контроля доступа к файловым объектам и к данным, временно хранящимся в буфере обмена.

Матрица контроля доступа к создаваемым объектам, как отмечали ранее (см. п. 3.1.4), строится иным способом.

Требование. В СЗИ должна решаться задача локализации используемых в рамках каждой роли (сессии) устройств — задача управления монтированием локальных устройств по учетным записям (по уровням конфиденциальности), решение которой предполагает возможность использования в роли и (или) сессии только необходимых устройств.

Решение данной задачи предполагает динамическое монтирование устройств к системе, в частности, возможность отключения запрещенных устройств при соответствующей смене роли или сессии (при смене учетной записи).

Если говорить о реализации контроля доступа, то динамическое монтирование устройств может быть описано следующей моделью. Если считать, что множества С = {С,, ..., С,} и U = {Uv ..., Uk} — соответственно линейно упорядоченные множества субъектов доступа (пользователей) и устройств, а М = {М, 0} — конечное множество прав монтирования устройств (М - монтирование разрешено, 0 — монтирование запрещено), то разграничительная политика управления монтированием устройств описывается матрицей доступа F, где F[C, U] — ячейка матрицы, содержит право доступа субъекта из множества С = {Ср ..., С,} на монтирование устройства из множества U = {Uj,..., Uk). В любой момент времени система описывается своим текущим состоянием Q = (С, U, М).

Требование к безопасности системы в рассматриваемом случае может быть сформулировано следующим образом: «Для заданной системы состояние Qo = (С0, f/0, М0) следует считать безопасным относительно права М, если не существует применимой к Qo последовательности действий, в результате выполнения которых субъектом (пользователем) С0 приобретается право М к устройству М0, исходно отсутствующее в ячейке матрицы М00, f/0]». Если же право М, отсутствующее в ячейке матрицы М0[С0, М0], приобретается субъектом С0, то следует говорить, что произошла утечка права М, а система небезопасна относительно права М.

Требование. В СЗИ должна решаться задача локализации использования прикладного программного обеспечения в рамках реализации различных ролей и (или) сессий.

Суть данного требования состоит в предоставлении возможности запуска под определенной учетной записью (в рамках определенной роли или сессии) только определенного фиксированного набора программ.

Теперь перейдем к рассмотрению матрицы контроля доступа и сформулируем требования, выполнение которых в системе направлено на предотвращение возможности утечки права доступа.

Требование. Система ЗИ должна быть активной в И С и должна реализовывать контроль и разграничение прав доступа в соответствии с заданной разграничительной политикой доступа, реализующей соответствующую матрицу контроля доступа.

Данное требование, сформулированное в общем виде, можно уточнить следующим образом: СЗИ должна быть загружена при старте ОС, все ее соответствующие компоненты должны быть активны, а настройки — корректны. Это должно достигаться следующим:

  • • загрузка ОС должна быть осуществлена только с определенного носителя, что предполагает автоматическую загрузку и запуск СЗИ. Эта задача защиты решается так называемыми средствами доверенной загрузки, предотвращающими возможность загрузки несанкционированной ОС [17];
  • • должна быть предотвращена загрузка ОС в так называемом безопасном режиме, позволяющем загружать систему пошагово с отключением системных компонентов, включая компоненты СЗИ (либо должна предотвращаться возможность их отключения при таком режиме загрузки системы);
  • • СЗИ при загрузке должна осуществить контроль наличия в своем составе необходимых компонентов и сохранность настроек, при обнаружении нарушения целостности настроек автоматически их восстановить из резервной копии;
  • • СЗИ должна корректно функционировать в течение всего времени функционирования системы, что должно обеспечиваться средствами ее самозащиты.

Последнее требование должно обеспечиваться следующим:

  • • должна предотвращаться возможность любого воздействия (при реализации роли системного администратора и с его привилегированными правами в системе) на запущенные в системе компоненты СЗИ с целью их дезактивации;
  • • должна предотвращаться возможность доступа интерактивных пользователей (при реализации роли системного администратора и с его привилегированными правами в системе) к объектам (файловым и соответствующим объектам реестра ОС), в которых хранятся настройки СЗИ.

Замечание. Реализация роли системного администратора крайне важна не

только в части контроля и разграничения его прав по администрированию системы, но и в части реализации запрета его доступа к обрабатываемым в системе

данным — к создаваемым иными интерактивными пользователями файлам.

Теперь непосредственно рассмотрим матрицу контроля доступа, в результате чего сформулируем соответствующие требования.

Требование. Система ЗИ должна обеспечивать возможность разграничения прав доступа любого субъекта доступа к любом объекту, используемому в рамках реализации ролевой и (или) сессионной модели контроля доступа.

Матрица контроля доступа (за исключением системных объектов) должна реализацией соответствующей разграничительной политики доступа сводиться к диагональной матрице Мк:

При невыполнении данного требования для какого-либо объекта доступа, обозначим его через Он, в отношении него невозможно создать разграничительную политику доступа без утечки права R, которая в этом случае присутствует между субъектами априори, а диагональная матрица доступа с учетом наличия в системе неразделяемого объекта преобразуется к следующему виду, Мк:

Замечание. Применительно к неразделяемым файловым объектам данная задача решается реализацией в системе защиты метода перенаправления запросов

доступа, который мы рассмотрели ранее.

Требование. Система защиты должна реализовывать разрешительную разграничительную политику доступа, причем как в отношении объектов, так и в отношении субъектов доступа:

  • • ячейки матрицы контроля доступа М[С, О] должны содержать разрешающие, а не запрещающие права доступа субъектов к объектам, указывать на то, какое право доступа субъекту разрешено;
  • • должна обеспечиваться возможность задания в разграничительной политике доступа сущностей — любой объект доступа, маска «*», любой субъект доступа, маска «*», при этом любому субъекту доступа не должно разрешаться какого-либо права доступа к любому объекту доступа, что проиллюстрировано соответствующим преобразованием матрицы контроля доступа.

Правило для анализа корректности запроса доступа выбирается по более точному соответствию анализируемому запросу, т.е. по более точному указателю субъекта и объекта в заданных правилах контроля доступа (данный алгоритм был проиллюстрирован ранее). В результате этого любой запрос доступа, не подпадающий ни под одно заданное в разграничительной политике доступа в явном виде разрешение доступа (разрешающее правило), системой защиты будет отвергнут, так как такой запрос доступа будет анализироваться на соответствие правилу — доступ любого субъекта к любому объекту запрещен.

При этом матрица контроля доступа М принимает следующий вид:

В результате построения подобным образом матрицы контроля доступа становится невозможным доступ как любого несанкционированно созданного в системе субъекта к любому объекту, так и любого субъекта к любому несанкционированно созданному в системе объекту.

Требование. Пользователь, не являющийся администратором СЗИ, не должен иметь возможности изменения прав доступа к объекту, в том числе и к создаваемому им объекту, т.е. из разграничительной политики доступа должна быть исключена сущность «владение» объектом.

При невыполнении данного требования пользователь, который в современных условиях должен рассматриваться в качестве потенциального нарушителя, имеет возможность изменить ячейку матрицы контроля доступа М, задающую разграничение прав доступа к создаваемым им объектам, что можно интерпретировать в качестве утечки соответствующего права доступа.

Требование. СЗИ должна обеспечивать корректную идентификацию субъектов доступа, а при необходимости должна обеспечивать их аутентификацию (подтверждение подлинности идентификации). Это должно достигаться следующим:

  • • пользователь как субъект доступа должен задаваться в разграничительной политике доступа своим идентификатором защиты (security identifier, SID). Корректность идентификации пользователя должна обеспечиваться его идентификацией (соотношением с конкретным SID) при входе в систему (контроль доступа к ИС), аутентификация обеспечивается при этом реализацией соответствующей парольной защиты;
  • • процесс как субъект доступа должен задаваться в разграничительной политике доступа полным именем его исполняемого файла. Корректность идентификации процессов в разграничительной политике доступа должна обеспечиваться запретом модификации, в том числе удаления и переименования, их исполняемых файлов.

Требование. СЗИ должна обеспечивать корректную идентификацию объектов доступа. Это должно достигаться следующим:

  • • запрос доступа к файловому объекту может быть осуществлен по длинному и короткому имени, с использованием соответствующей кодировки, ссылок и т.д. С учетом этого СЗИ должна приводить любой вид идентификации объекта в запросе доступа к одному виду (к длинному имени), используемому в разграничительной политике доступа;
  • • при реализации контроля доступа к типам файлов (по их расширениям) СЗИ должна предотвращать возможность переименования контролируемых расширений файлов в иные и, наоборот, иных расширений файлов в контролируемые;
  • • к внешнему накопителю (к конкретному устройству) можно разграничивать права доступа по букве диска, по серийному номеру тома, создаваемого системой при его форматировании, непосредственно по идентификатору устройства — по серийному номеру устройства, аппаратно зашиваемому в устройстве его производителем. Именно серийный номер устройства, аппаратно зашиваемый в устройствах производителями, должен использоваться для идентификации внешних накопителей.

Требование. СЗИ должна обеспечивать возможность использования (монтирования) только тех устройств хранения данных, к которым осуществляется запрос доступа как к файловым объектам, т.е. запросы доступа могут контролироваться.

Замечание. Например, возможность запроса и получения доступа к обрабатываемым данным предоставляет использование некоторых внешних накопителей (в частности, используемых в некоторых смартфонах) со своим драйвером файловой системы — система оперирует с ними как с устройствами, а не как с файловыми объектами, применительно к ним контроль доступа к файловым объектам нс реализуется.

Требование. Должна предотвращаться возможность хранения обрабатываемых данных вне объектов, к которым разграничиваются права доступа субъектов.

Это требование связано с реализацией удаления файловых объектов современными ОС, приводящей к появлению в системе так называемой остаточной информации. Дело в том, что при удалении файла штатными средствами ОС собственно данные не удаляются, осуществляется переразметка MFT-таблицы (в случае файловой системы NTFS в ОС Windows). При этом данные остаются на диске вне файлового объекта. Система принудительно очищает (записью нулей) только пространство диска, предоставляемое ею для создания нового файла в объеме этого файла. В результате этого на диске (в частности, на внешнем накопителе) без реализации соответствующего требования в том или ином объеме всегда будет присутствовать остаточная информация — не удаленные штатными средствами системы данные. Особенно это критично в отношении внешних накопителей.

Данное требование выполняется отдельными средствами ЗИ — средствами гарантированного удаления файлов. При этом должны перехватываться запросы доступа на удаление файлов, анализироваться правила гарантированного удаления файлов, если удаляемый файл подпадает под заданные правила, средство защиты должно принудительно модифицировать его содержимое — записать в удаляемый файл заданное число раз какую-либо заданную информацию, например все нули, и только после этого возвратить управление ОС.

После удаления файла штатными системными средствами в этом случае остаточной будет информация, принудительно записанная в файл средством защиты.

В зависимости от используемого метода контроля доступа (к статичным или к создаваемым объектам) может быть задано гарантированное удаление либо файлов, созданных в определенных папках, либо файлов, создаваемых определенными субъектами доступа.

Аналогичная ситуация (возникновение остаточной информации) имеет место и для оперативной памяти, здесь — при завершении работы процесса, которому системой предоставляется определенная область оперативной памяти, и которую система не очищает.

Еще раз отметим, что целью данного материала не является формирование достаточного набора требований, которые должны быть выполнены при построении безопасной системы, излагается лишь подход к формированию подобных требований, основанный на соответствующем системном анализе матрицы контроля доступа. Вместе с тем и сформулированных вышс требований достаточно для понимания рассматриваемого подхода к построению СЗИ и того, насколько должна быть сложна при корректной реализации СЗИ даже базового уровня защиты.

 
Посмотреть оригинал
Если Вы заметили ошибку в тексте выделите слово и нажмите Shift + Enter
< Предыдущая   СОДЕРЖАНИЕ   Следующая >
 

Популярные страницы