|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Модели механизмов защиты информацииПриведем аннотационное описание наиболее часто цитируемых моделей, в том числе: дискреционного, мандатного, дискретного доступа; синхронных и асинхронных распределенных систем; трансформации прав доступа; элементарной защиты; гарантированно защищенной системы; модель изолированной программной среды; субъектно-объектная модель; и др. 1. Модель дискреционного доступа [42]. В рамках модели контролируется доступ субъектов к объектам. Для каждой пары субъект-объект устанавливаются операции доступа (READ, WRITE и др.). Контроль доступа осуществляется посредством механизма, который предусматривает возможность санкционированного изменения правил разграничения доступа. Право изменять правила предоставляется выделенным субъектам. В моделях дискретного доступа [43–45] рассматриваются отдельные механизмы распространения доступа субъектов к объектам. 2. Модель мандатного управления доступом Белла—Лападула [43, 46, 47]. Формально записана в терминах теории отношений. Описывает механизм доступа к ресурсам системы, при этом для управления доступом используется матрица контроля доступа. В рамках модели рассматриваются простейшие операции доступа субъектов к объектам READ и WRITE, на которые накладываются ограничения. Множества субъектов и объектов упорядочены в соответствии с их уровнем безопасности. Состояние системы изменяется согласно правилам трансформации состояний. Во множестве субъектов могут присутствовать доверенные субъекты, которые не подчиняются ограничениям на операции READ и WRITE. В таком случае модель носит название модели доверенных субъектов [43]. 3. Модели распределенных систем (синхронные и асинхронные) [43]. В рамках модели субъекты выполняются на нескольких устройствах обработки. В рамках модели рассматриваются операции доступа субъектов к объектам READ и WRITE, которые могут быть удаленными, что может вызвать противоречия в модели Белла—Лападула. В рамках асинхронной модели в один момент времени несколько субъектов могут получить доступ к нескольким объектам. Переход системы из одного состояния в состояние в один момент времени может осуществляться под воздействием более, чем одного субъекта. 4. Модель безопасности военной системы передачи данных (MMS-модель) [43, 46, 48]. Формально записана в терминах теории множеств. Субъекты могут выполнять специализированные операции над объектами сложной структуры. В модели присутствует администратор безопасности для управления доступом к данным и устройством глобальной сети передачи данных. При этом для управления доступом используются матрицы контроля доступа. В рамках модели используются операции доступа субъектов к объектам READ, WRITE, CREATE, DELETE, операции над объектами специфической структуры, а также могут появляться операции, направленные на специфическую обработку информации. Состояние системы изменяется с помощью функции трансформации. 5. Модель трансформации прав доступа [46]. Формально записана в терминах теории множеств. В рамках модели субъекту в данный момент времени предоставляется только одно право доступа. Для управления доступом применяются функции трансформации прав доступа. Механизм изменения состояния системы основывается на применении функций трансформации состояний. 6. Схематическая модель [46, 50]. Формально записана в терминах теории множеств и теории предикатов. Для управления доступом используется матрица доступа со строгой типизацией ресурсов. Для изменения прав доступа применяется аппарат копирования меток доступа. 7. Иерархическая модель [46, 51]. Формально записана в терминах теории предикатов. Описывает управление доступом для параллельных вычислений, при этом управление доступом основывается на вычислении предикатов. 8. Модель безопасных спецификаций [46, 52]. Формально описана в аксиоматике Хоара. Определяет количество информации, необходимое для раскрытия системы защиты в целом. Управление доступом осуществляется на основе классификации пользователей. Понятие механизма изменения состояния не применяется. 9. Модель информационных потоков [46, 53]. Формально записана в терминах теории множеств. В модели присутствуют объекты и атрибуты, что позволяет определить информационные потоки. Управление доступом осуществляется на основе атрибутов объекта. Изменением состояния является изменение соотношения между объектами и атрибутами. 10. Вероятностные модели [43]. В модели присутствуют субъекты, объекты и их вероятностные характеристики. В рамках модели рассматриваются операции доступа субъектов к объектам READ и WRITE. Операции доступа также имеют вероятностные характеристики. 11. Модель элементарной защиты [54]. Предмет защиты помещен в замкнутую и однородную защищенную оболочку, называемую преградой. Информация со временем начинает устаревать, т.е. цена ее уменьшается. За условие достаточности защиты принимается превышение затрат времени на преодоление преграды нарушителем над временем жизни информации. Вводятся вероятность непреодоления преграды нарушителем P сзи, вероятность обхода преграды нарушителем P обх и вероятность преодоления преграды нарушителем за время, меньшее времени жизни информации P хр. Для введенной модели нарушителя показано, что P сзи = min [(1 – P обх), (1 – P хр)], что является иллюстрацией принципа слабейшего звена. Развитие модели учитывает вероятность отказа системы и вероятность обнаружения и блокировки действий нарушителя. 12. Модель системы безопасности с полным перекрытием [44, 55]. Отмечается, что система безопасности должна иметь по крайней мере одно средство для обеспечения безопасности на каждом возможном пути проникновения в систему. Модель описана в терминах теории графов. Степень обеспечения безопасности системы можно измерить, используя лингвистические переменные [56, 57]. В базовой системе рассматривается набор защищаемых объектов, набор угроз, набор средств безопасности, набор уязвимых мест, набор барьеров. 13. Модель гарантированно защищенной системы обработки информации [6]. В рамках модели функционирование системы описывается последовательностью доступов субъектов к объектам. Множество субъектов является подмножеством множества объектов. Из множества объектов выделено множество общих ресурсов системы, доступы к которым не могут привести к утечке информации. Все остальные объекты системы являются порожденными пользователями, каждый пользователь принадлежит множеству порожденных им объектов. При условии, что в системе существует механизм, который для каждого объекта устанавливает породившего его пользователя; что субъекты имеют доступ только общим ресурсам системы и к объектам, порожденным ими, и при отсутствии обходных путей политики безопасности, модель гарантирует невозможность утечки информации и выполнение политики безопасности. 14. Субъектно-объектная модель [58, 59]. В рамках модели все вопросы безопасности описываются доступами субъектов к объектам. Выделено множество объектов и множество субъектов. Субъекты порождаются только активными компонентами (субъектами) из объектов. С каждым субъектом связан (ассоциирован) некоторый объект (объекты), т.е. состояние объекта влияет на состояние субъекта. В модели присутствует специализированный субъект — монитор безопасности субъектов (МБС), который контролирует порождение субъектов. Показана необходимость создания и поддержки изолированной программной среды. Из упомянутых моделей наибольший интерес представляют дискреционные и мандатные механизмы разграничения доступа (как наиболее распространенные), модель гарантированно защищенной системы (в силу гарантированности) и субъектно-объектная модель (рассматривающая не только доступы, но и среду, в которой они совершаются). В [43] предлагаются следующие исходные понятия для моделирования защиты информации. Сущность, под которой понимается любая составляющая компьютерной системы. С убъект — активная сущность, которая может инициировать запросы ресурсов и использовать их для выполнения каких-либо вычислительных заданий. Объект — пассивная сущность, используемая для хранения и получения информации. Доступ — взаимодействие между объектом и субъектом, в результате которого происходит перенос информации между ними. Взаимодействие происходит при исполнении субъектами операций. Существуют две фундаментальные операции: · чтение — перенос информации от объекта к субъекту; · запись — перенос информации от субъекта к объекту. Утверждается, что данные операции являются минимально необходимым базисом для описания моделей, описывающих защищенные системы. Уровень безопасности определяется как иерархический атрибут. Каждая составляющая компонента системы ассоциирована с уровнем безопасности. Для представления уровней безопасности введено: · L — множество уровней безопасности; · символы «<», «£», «>», «³» — описывающие иерархические отношения между элементами множества L. Комментарий. Даже из столь краткого представления моделей очевидным становится, что они базируются на феноменологическом описании процессов и объектов электронной среды. Исходные понятия даются на эвристическом уровне: есть нечто, понимаемое по умолчанию как электронная информация, или как электронный документ, или как операция, или как процесс в электронной среде и т. д. В формальную модель вводятся полуопределенные, расплывчатые понятия социальной среды: «сущность», «субъект», «объект», «доступ», «право», «полномочие», и т. п. При таком представлении интерпретация моделей и результатов не абсолютна (однозначна), а относительна (многозначна) — допускает широкий диапазон толкований, зависящий от квалификации и подготовки пользователя. Например, утверждение «2×2 = 4» — абсолютно, не зависит от квалификации воспринимающего субъекта. А теперь рассмотрим понятие «несанкционированный доступ — НСД» с позиций математика, программиста и юриста. Для математика несанкционированный доступ непонятен в принципе: либо путь (доступ) из одной вершины графа в другую существует, либо нет, и никаких санкций для этого не требуется. Для программиста НСД означает существование алгоритма инициализации протокола доступа, отличающегося от приведенного в руководстве или инструкции пользователю. Для юриста НСД означает запуск предусмотренного стандартного протокола доступа лицом, не имеющим на то административных полномочий. По существу наблюдается та же самая картина, с которой мы столкнулись в разделе 1.1 при анализе понятийной базы законов в сфере электронного взаимодействия. Только в законах применяется бытовой сленг, а при описании моделей — профессиональный жаргон разработчиков инструментальных средств, разбавленный поверхностными знаниями математики. Для простых моделей подобное допустимо, конкретная интерпретация понятий возможна по умолчанию. Но с ростом сложности моделируемого явления адекватность теряется, и правильно истолковать результаты моделирования может только разработчик, зачастую вкладывающий в трактовку понятий свое индивидуальное видение, в корне отличающееся от канонического определения. Аннотированные модели априорно рассчитаны на применение специалистами с квалификацией, позволяющей им более-менее однозначно трактовать тот сленг, на котором описана модель, понять, что же именно модель уточняет. Преимущество компактности описания достигается за счет узости применения, фактически уточняются свойства и требования к отдельным механизмам защиты информации от несанкционированного доступа (НСД) — основному виду угроз информационной безопасности. До начала моделирования специалист уже представляет конечный результат, его цель — только конкретизация количественного измерения результата. Это эффективно на начальных этапах электронного взаимодействия, когда средства защиты и нападения достаточно очевидны. С качественным ростом сложности вычислительных систем, появлением все более и более изощренных методов и способов атак, эффективность подобных моделей падает. «Смешивание» в единой модели качественно отличающихся сторон электронного взаимодействия — требований аналоговой, цифровой и социальной среды существования документа, — допустимо только на примитивном уровне описания. Мы приходим к тому же самому положению, что и в приведенном анализе понятийной базы вербальных моделей ЭлД. Существующие модели защиты информации имеют экстенсивный характер (обо всем понемножку), что в перспективе должно негативно сказаться на эффективности их применения. Необходима специализация моделей, учитывающая качественное различие свойств и требований к электронному документу при его переходе на этапах жизненного цикла из одной среды существования в другую. Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.006 сек.) |