Політика інформаційної безпеки

   Сенс  гарантованого захисту в тому, що за додержання вихідних умов заздалегідь виконуються всі правила ПБ. Термін гарантований захист уперше

зустрічається в стандарті міністерства оборони США на вимоги до захищених систем.

Зважаючи  на технічні та програмно-апаратні проблеми, що виникають при організації  захисту в захищених АС, у багатьох випадках належний рівень захищеності  досягається за рахунок вдало  реалізованої ПБ, причому іноді ПБ може залишитися майже єдиним засобом  забезпечення захисту. Тому розробка, дослідження та правильнее застосування ПБ є надзвичайно актуальною проблемою сучасних СЗІ.

   Побудова  ПБ ─ це зазвичай такі кроки:

   ─ в інформацію вноситься структура цінностей і проводиться аналіз ризику;

   ─ визначаються правила для будь-якого  процессу користування певним видом доступу до елементів інформації, які мають певну оцінку цінностей.

   Однак реалізація цих кроків є дуже складним завданням. Результатом помилкового або бездумного визначення правил ПБ здебільшого є руйнування цінності інформації без порушення ПБ. Тобто при незадовільній ПБ навіть надійна СЗІ може бути прозорою для зловмисника.

   ПБ  може бути викладена як на описовому рівні, так і за допомогою певної формальної мови. Вона є необхідною (а іноді й достатньою) умовою безпеки системи.

   Формальний  вираз політики безпеки називають моделлю ПБ. Основна мета створення ПБ інформаційної системи й опису її у вигляді формальної моделі ─ це визначення умов, яким має підпорядковуватися поведінка системи, вироблення критерію безпеки і проведення формального доведення відповідності системи цьому критерію при додержанні встановлених правил і обмежень. На практиці це означає, що тільки уповноважені користувачі можуть отримати доступ до інформації і здійснювати з інформацією тільки санкціоновані дії.

   Незважаючи  на те що створення формальних моделей вимагає суттєвих витрат, вони складні для розуміння і вимагають певної інтерпретації для застосування в реальних системах. Слід констатувати той факт, що формальні моделі потрібні, тому що тільки за їх допомогою можна довести безпеку системи, спираючись на об'єктивні й незаперечні постулати математичної теорії. Загальним підходом щодо всіх моделей є поділ множини сутностей, що становлять систему, на множини суб'єктів і об'єктів, хоча самі визначення понять об'єкт і суб'єкт у  різних моделях можуть істотно відрізнятися. Взаємодії в системі моделюються встановленням відношень певного типу між суб'єктами та об'єктами.

   Множина типів відношень визначається у  вигляді набору операцій, які суб'єкти можуть здійснюватинад об'єктами. Усі операції в системі контролюються певним спеціально призначеним для цього суб'єктом і забороняються або дозволяються відповідно до правил ПБ.

   ПБ  задається у вигляді правил, відповідно до яких мають виконуватися всі взаємодії  між суб'єктами та об'єктами. Взаємодії, що призводять до порушень цих правил, припиняються засобами контролю доступу й не можуть бути здійснені.  

2.  Види  моделей політики інформаційної  безпеки

 

   Серед моделей ПБ найвідомішими є дискреційна,  мандатна та рольова. Перші дві досить давно відомі й детально досліджені, а рольова політика є недавнім досягненням теорії та практики захисту інформації. 

   2.2.1  Дискреційна політика безпеки 

   Основою дискреційної політики безпеки (ДПБ) є дискреційне управління  доступом (Discretionary Access Control - DAC), яке визначається двома властивостями:

   ─ усі суб'єкти й об'єкти мають бути однозначно ідентифіковані;

   ─ права доступу суб'єкта до об'єкта системи визначаються на основі певних зовнішніх відносно системи правил.

   Назва пункту є дослівним перекладом з  англійської терміна Discretionary policy, ще один варіант перекладу - розмежувальна політика. Ця політика одна з найпоширеніших в світі, в системах по замовчуванню мається на увазі саме

ця політика. ДПБ реалізується за допомогою матриці доступу, яка фіксує множину об'єктів та суб'єктів, доступних кожному суб'єкту.

   Наведемо  приклади варіантів задания матриці доступу:

   1. Листи можливостей: для кожного суб'єкта створюється лист (файл) усіх об'єктів, до яких має доступ даний суб'єкт;

   2. Листи контролю доступу: для  кожного об'єкта створюється список усіх суб'єктів, що мають доступи до цього об'єкта;

   До  переваг ДПБ можна віднести відносно просту реалізацію відповідних механізмів захисту. Саме цим зумовлено той факт, що більшість поширених нині захищених автоматизованих систем забезпечують виконання положень саме ДПБ. Однак багатьох проблем захисту ця політика розв'язати не може.

   Наведемо  найбільш суттєві вади ДПБ:

   1. Один з найбільших недоліків  цього классу політик ─ вони не витримують атак за допомогою «Троянського коня». Це, зокрема, означає, що система захисту, яка реалізує ДПБ, погано захищає від проникнення вірусів у систему та інших способів прихованої руйнівної дії.

   2. Автоматичне визначення прав. Оскільки об'єктів багато і їх кількість безперервно змінюється, то задати заздалегідь вручну перелік прав кожного суб'єкта на доступ до об'єктів неможливо. Тому матриця доступу різними способами агрегується, наприклад, суб'єктами залишаються тільки користувачі, а у відповідну клітину матриці вставляються формули функцій, обчислення яких визначає права доступу суб'єкта, породженого користувачем, до об'єкта.

   Звичайно, ці функції можуть змінюватися з часом. Зокрема, можливе вилучення прав після виконання певної події, також можливі модифікації, що залежать від інших параметрів.

   3. Контроль поширення прав доступу.  Найчастіше буває так, що власник файла передає вміст файла іншому користувачеві і той відповідно набуває права власника на цю інформацію. Отже, права можуть поширюватись, і навіть якщо

перший  власник не хотів передати доступ іншому суб'єкту до своєї інформації, то після кількох кроків передача прав може відбутися незалежно від  його волі. Виникає задача про умови, за якими в такій системі певний суб'єкт рано чи пізно отримає необхідний йому доступ.

   4. При використанні ДПБ виникає  питання визначення правил поширення прав доступу й аналізу їх впливу на безпеку АС. У загальному випадку при використанні ДПБ органом, який її реалізує і який при санкціонуванні доступу

суб'єкта до об'єкта керується певним набором правил, стоїть задача, яку алгоритмічно неможливо розв'язати: перевірити, призведуть його дії до порушень безпеки чи ні. Отже, матриця доступів не є тим механізмом, який дозволив би реалізувати ясну і чітку СЗІ в АС. Більш досконалою ПБ виявилася мандатна ПБ. 

   2.2.2 Мандатна політика 

   Основу  мандатної (повноважної) політики безпеки (МПБ) становить мандатне управління доступом (Mandatory Access Control - МАС), яке передбачає, що:

   ─  всі суб'єкти й об'єкти повинні  бути однозначно ідентифіковані;

   ─ у системі визначено лінійно упорядкований набір міток секретності;

   ─ кожному об'єкту системи надано мітку секретності, яка визначає цінність інформації, що міститься в ньому, ─ його рівень секретності в АС;

   ─ кожному суб'єкту системи надано мітку секретності, яка визначає рівень довіри до нього в АС,- максимальне  значення мітки секретності об'єктів, до яких суб'єкт має доступ; мітка  секретності суб'єкта називається  його рівнем доступу.

   Основна мета МПБ ─ запобігання витоку інформації від об'єктів з високим  рівнем доступу до об'єктів з низьким  рівнем доступу, тобто протидія виникненню в КС інформаційних каналів згори  вниз. Вона оперує, таким чином, поняттями інформаційного потоку і цінності інформаційних об'єктів.  Цінність інформаційних об'єктів (або їх мітки рівня секретності) часто дуже важко визначити. Однак досвід показує, що в будь-якій КС майже завжди для будь-якої пари об'єктів Х та Υ можна сказати, який з них більш цінний.

   Тобто, можна вважати, що таким чином фактично визначається деяка однозначна функція с(Х), яка дозволяє для будь-яких об'єктів X і Υ сказати, що коли Υ більш цінний об'єкт, ніж X, то c(Y) > с(Х). І навпаки, якщо c(Y) > с(Х), то Υ - більш цінний об'єкт, ніж X. Тоді потік інформації від X до Υ дозволяється, якщо с(Х) < c(Y), і не дозволяється, якщо с(Х) > c(Y).

     Отже, МПБ має справу з множиною інформаційних потоків, яка ділиться на дозволені і недозволені за дуже простою умовою ─ значенням наведеної функції. МПБ у сучасних системах захисту на практиці реалізується мандатним контролем на найнижчому апаратно-програмному рівні, що дає змогу досить ефективно будувати захищене середовище для механізму мандатного контролю.

   Пристрій  мандатного контролю називають монітором звернень. Мандатний контроль, який ще називають обов'язковим, оскільки його має проходити кожне звернення суб'єкта до об'єкта, організується так: монітор звернень порівнює мітки рівня секретності кожного об'єкта з мітками рівня доступу суб'єкта. За результатом порівняння міток приймається рішення про допуск. Найчастіше МПБ описують у термінах, поняттях і визначеннях властивостей моделі Бел- ла-Лападула. У рамках цієї моделі доводиться важливе твердження, яке вказує на принципову відмінність систем, що реалізують мандатний захист, від систем з дискреційним захистом: «якщо початковий стан системи безпечний і всі переходи системи зі стану до стану не порушують обмежень, сформульованих ПБ, то будь-який стан системи безпечний».

   Наведемо  ряд переваг МПБ порівняно  з ДПБ:

   1. Для систем, де реалізовано МПБ,  є характерним вищий ступінь надійності. Це пов'язано з тим, що за правилами МПБ відстежуються не тільки правила доступу суб'єктів системи до об'єктів, а й стан самої КС. Таким чином, канали витоку в системах такого типу не закладені первісно (що є в положеннях ДПБ), а можуть виникнути тільки при практичній реалізації систем внаслідок помилок розробника;

   2. Правила МПБ ясніші і простіші  для розуміння розробниками і користувачами АС, що також є фактором, який позитивно впливає на рівень безпеки системи;

   3. МПБ стійка до атак типу «Троянський кінь»;

   4. МПБ допускає можливість точного  математичного доведення, що система в заданих умовах підтримує ПБ.

   Однак МПБ має дуже серйозні вади –  вона дуже складна для практичної реалізації і вимагає значних ресурсів КС. Це пов'язано з тим, що інформаційних

потоків у системі величезна кількість і їх не завжди можна ідентифікувати. Сааме ці вади часто заважають її практичному використанню.

   МПБ прийнята всіма розвинутими державами світу. Вона розроблялася, головним чином, для збереження секретності (тобто конфіденційності) інформації у військових організаціях. Питання ж цілісності за її допомогою не

розв'язуються або розв'язуються частково, як побічний результат захисту секретності. 

   2.2.3 Рольова політика безпеки 

   Рольову політику безпеки (РПБ) (Role Base Access Control - RBAC) не можна віднести ані до дискреційної, ані до мандатної, тому що керування доступом у ній здійснюється як на основі  матриці прав доступу для ролей, так і за допомогою правил, які регламентують призначення ролей користувачам та їх активацію під час сеансів. Отже, рольова модель є цілком новим типом політики, яка базується на компромісі між гнучкістю керування доступом, характерною для ДПБ, і жорсткістю правил контролю доступу, що притаманна МПБ.

   У РПБ класичне поняття «суб'єкт» заміщується поняттями «користувач» і «роль».

   Користувач  ─ це людина, яка працює з системою і виконує певні службові обов'язки.

   Роль ─ це активно діюча в системі абстрактна сутність, з якою пов'язаний обмежений, логічно зв'язаний набір повноважень, необхідних для здійснення певної діяльності.