Принципы создания программно-аппаратных средств защиты

При создании программно-аппаратных средств защиты, руководствуются следующими принципами:

1) Принцип обоснованности доступа. Для предоставления доступа пользователя к системе необходимо выполнить два условия: исполнитель должен иметь достаточную форму допуска к закрытой информации соответствующего уровня исполнителю данные сведения должны быть нужны для выполнения его профессиональных обязанностей. Исполнитель должен работать в своей исполнительной среде. Пользователь видит только доступную ему информацию. Правила создания данной среды представляются в виде математической модели (модели управления доступом). В этой модели необходимо учитывать динамику изменения взаимодействия ресурсов в системе.

2) Принцип достаточной глубины контроля доступа. Средства защиты информации должны включать механизмы контроля доступа ко всем видам информационных и программных ресурсов.

3) Принцип разграничения потоков информации. Не позволяет переписывать закрытую информацию на незакрытые носители. Осуществляется нанесением меток на носители информации и идентификация таких носителей.

4) Принцип чистоты повторно используемых ресурсов. Заключается в освобождении от закрытой информации ресурсов при их удалении или освобождении исполнителя до занятия другим исполнителем.

5) Принцип персональной ответственности. Исполнитель должен нести персональную ответственность за свою деятельность в системе, включая все действия с закрытой информацией.

Необходимо выполнение трех требований: идентификация всех пользователей и процессов, запущенных от их имени аутентификация пользователя

регистрация или протоколирование механизмами контроля доступа всех попыток доступа к закрытой информации, в т.ч. и неудачных.

6) Принцип целостности средств защиты.

Средства защиты должны точно выполнять свои функции и быть изолированы от пользователя. Все средства защиты должны выполняться в виде отдельного модуля, и называется он «монитор обращения».

Модели разграничения доступа:

дискреционный, или избирательный (discretionary access control, DAC), и мандатный, или полномочный доступ (mandatory access control, MAC). Надо заметить, что вторая модель стала развитием первой.

1) Суть DAC заключается в следующем (математически сложноописываемые модели Хартстона или АДЕПТ-50 мы не рассматриваем). У каждого объекта (например, файл или запись в базе данных) есть владелец (owner), который может по своему усмотрению разрешать другим субъектам (как правило, пользователи, но могут быть и программы, процессы и т. п.) доступ к этому объекту. Реализация такой модели очень проста – создается так называемая матрица доступа (access matrix), в столбцах которой указаны субъекты, а в строках – объекты доступа. На их пересечении указывается совокупность прав доступа (чтение, запись, выполнение и т. д.)

Но за простотой реализации скрывается и ряд подводных камней, которые делают эту модель низкозащищенной для большинства сфер применения. Во-первых, в системе с DAC (ярким примером является семейство ОС Windows без навесных систем защиты) всегда есть администратор, который имеет доступ ко всем объектам, что делает его «царем и богом». Защищенность системы в этом случае зависит только от честности этого «суперпользователя». Вторая особенность в том, что для облегчения реализации DAC на практике многие права доступа назначаются автоматически при создании того или иного объекта. И для облегчения жизни пользователям доступ разрешается всем.

Wide Image

2) Для того чтобы устранить недостатки модели DAC, была предложена новая модель — мандатного, или полномочного доступа. Суть ее также очень проста и была подсмотрена Беллом и Лападулой, основоположниками MAC, в государственных структурах США. Любой объект или субъект доступа в правительственных органах имел так называемый уровень секретности, или по-нашему «гриф», который варьировался от «неклассифицируемый» до «совершенно секретно» или «особой важности». Также Белл и Лападула обратили внимание на два интуитивно понятных правила безопасности:

«нет чтения вверх» — субъект доступа может получать доступ только к объектам, у которых уровень секретности не ниже уровня секретности субъекта. Иными словами, пользователь с грифом «секретно» не может прочитать документ с грифом «совершенно секретно», но может читать документы с грифом «секретно», «для служебного пользования» и «неклассифицируемый»;

«нет записи вниз» — субъект не имеет права писать (выполнять, копировать и т. п.) информацию в объект с уровнем секретности ниже, чем уровень субъекта. Иными словами, записать документ с грифом «для служебного пользования» на неклассифицированную флэшку невозможно.

Данная модель значительно повышает уровень защищенности операционных систем, СУБД и приложений, а также позволяет контролировать утечки конфиденциальной информации. Однако у данного подхода есть один очень серьезный недостаток – сложность реализации. Только представьте, что вам нужно классифицировать не только пользователей, но и все файлы и программы, носители информации, а также строить очень громоздкие матрицы доступа, учитывающие все возможные комбинации. И хотя такие системы существуют («Secret Net», «Аккорд», «Щит» и т.п.), распространены они в основном в военных и государственных структурах, в которых применение подобных моделей регламентируется на законодательном уровне.

У модели Белла – Лападулы есть и другие недостатки. Например, так называемая деклассификация объекта. Допустим, субъект с уровнем секретности «совершенно секретно» получил доступ к файлу с грифом также «совершенно секретно», после чего он понизил свой уровень секретности до «секретно» или даже «для служебного пользования» — формально он имеет на это право и мандатную модель это не нарушает. После этого субъект записывает информацию в файл с грифом «секретно» или «для служебного пользования» (он ведь находится на одном с ними уровне) – безопасность системы нарушена, хоть требования и условия модели Белла – Лападулы формально соблюдены.

В криптографии и информационной безопасности целостность данных в общем — это данные в том виде, в каком они были созданы. Примеры нарушения целостности данных:

— злоумышленник пытается изменить номер аккаунта в банковской транзакции, или пытается подделать документ.

— случайное изменение при передаче информации или при неисправной работе жесткого диска.

Методы и способы реализации требований, изложенных в определении термина, подробно описываются в рамках единой схемы обеспечения информационной безопасности объекта (защиты информации).

Основными методами обеспечения целостности информации (данных) при хранении в автоматизированных системах являются:

— обеспечение отказоустойчивости (резервирование, дублирование, зеркалирование оборудования и данных, например через использование RAID-массивов);

— обеспечение безопасного восстановления (резервное копирование и электронное архивирование информации).

Одним из действенных методов реализации требований целостности информации при ее передаче по линиям связи является криптографическая защита информации (шифрование, хеширование, электронная цифровая подпись).

 

Wide Image