CC BY
270
или ALC_TAT. Безусловно, в явном виде требования и конкретные методики проведения статического анализа исходных текстов программ в «Общих критериях» отсутствуют. Однако все они могут быть сформулированы в рамках анализа уязвимостей (AVA_VLA) и анализа скрытых каналов (AVA_CCA). В данном случае общий характер соответствующих компонентов классов доверия ни в коей мере не является недостатком, а наоборот предоставляет эксперту возможность реализации более гибкого подхода к проведению проверок, позволяя учитывать особенности конкретной системы. Динамический анализ, помимо уже упомянутых семейств AVA_VLA и AVA_CCA, обеспечивается компонентами ATE_COV (покрытие) и ATE_DPT (глубина). Косвенно здесь можно упомянуть семейство ATE_IND, более, впрочем, ориентированное на функциональное тестирование. Тем самым, потенциал «Общих критериев» вполне может быть использован для организации сертификационных испытаний программных средств на отсутствие недекларированных возможностей и программных закладок в системах сертификации ФСТЭК и МО РФ. Соответствующие методики, разработанные, например, в рамках НИР в интересах ФСТЭК России или МО РФ и интегрированные в единый процесс сертификации по ГОСТ Р ИСО/МЭК 15408-2002, могли бы обеспечить методическую полноту и самодостаточность таких испытаний.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. М.: Гостехкомиссия России, 1998.
2. Калайда И.А. Недекларированные возможности в программном обеспечении средств защиты информации. Jet Info, 2000, № 8.
3. Марков А.С., Щербина С.А. Испытания и контроль программных ресурсов. InfoimationSecurity, 2003, № 6.
4. Дастин Э., Рэшке Д., Пол Д. Автоматизированное тестирование программного обеспечения: внедрение, управление, эксплуатация. М.: Лори, 2003.
5. ГОСТ Р ИСО/МЭК 15408-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Части 1, 2, 3. М.: ИПК «Изд-во стандартов», 2002.
6. Методическое руководство по оценке качества функционирования информационных систем. М.: Изд-во 3 цНИИ МО РФ, 2003.
7. ГОСТ РВ 51719-2001. Испытания программной продукции. М.: ИПК «Изд-во стандартов», 2001.
8. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Части 1, 2, 3. — М.: Гостехкомиссия России, 2002.
9. Скрытые каналы, // Тематический сборник. Jet Info, 2002, № 11.
10. Хогланд Г., Мак-Гроу Г. Взлом программного обеспечения: анализ и использование кода. М.: Вильямс, 2005.
Е.В. Горковенко
Казахстан, г .Алматы, Институт проблем информатики и управления
ПАРАМЕТРЫ БЕЗОПАСНОСТИ В МНОГОУРОВНЕВОЙ МОДЕЛИ РАЗГРАНИЧЕНИЯ ДОСТУПА
Основное назначение полномочной политики безопасности, базирующейся на многоуровневой мандатной модели разграничения доступа, заключается в регулировании доступа субъектов системы к объектам с различным уровнем критичности и предотвращении утечки информации с верхних уровней должностной иерархии на нижние, а также блокировании возможного проникновения с нижних уровней на верхние. Полномочное управление доступом подразумевает, что:
- все субъекты и объекты системы, подлежащие защите, должны быть однозначно идентифицированы;
- каждому объекту системы присвоена метка критичности, определяющая ценность содержащейся в нем информации;
- каждому субъекту системы присвоен уровень прозрачности, определяющий максимальное значение метки критичности объектов, к которым субъект имеет доступ.
Если описывать политику разграничения доступа некоторой организации в форме высокоуровневых спецификаций разграничения доступа, то, прежде всего, необходимо определить параметры безопасности, которые определят свойства субъектов и объектов защиты организации, а также разрешенные операции субъектов системы над объектами. Обычно субъекты защиты характеризуются своими полномочиями и степенью доверия к ним. Объекты защиты характеризуются уровнем секретности информации, которую они содержат. Определим параметры, достаточные для описания характеристик субъектов и объектов защиты, и, как следствие, такой организации хранения и обработки данных различного уровня и категорий пользования при наличии персонала с различными категориями допуска, чтобы исключить доступ к информации или ее модификацию лицами, чей допуск не отвечает уровню секретности информации.
Пусть множество субъектов £ - конечное множество элементов Я1,Я2,., Множество субъектов наделено структурой дерева. При этом: каждому субъекту соответствует список субъектов, непосредственно следующих за ним и, если субъект я е £ отличен от корня дерева як,, то ему соответствует единственный субъект
яр непосредственно предшествующий этому субъекту яу Каждому субъекту приписывается определенный уровень защиты, соответствующий категории допуска, р е 3. Он остается неизменным все время функционирования системы или все время существования субъекта вплоть до лишения его всех прав доступа к объектам
системы. Каждый элемент множества яр е £ представляется парой {Ху, Иу }, где
{} - конечное множество классификаций субъектов, { Иу} - конечное множество
категорий допуска. При этом уровень защиты субъекта р выше уровня защиты р т.е. 3^1)>3(8^, если выполняются следующие условия:
1. А^ 1= Хj 2, И j 1>И j 2>
2. Х j 1> А j 2, И j 1 И j 2’
3. Лj 1>Хj 2, Иj 1>Иj 2 ;
4. Аj 1<Аj 2, Иj 1>Иj 2. - особый случай.
Уровни защиты субъектов будут равны, т.е. 3(яр1) = 3(8^, если Ху 1= Ху2,,
И 1= И 2. Это может иметь место лишь для различных ветвей дерева субъектов,
когда субъекты находятся на одной горизонтали, при этом субъекты р яр2 будут относиться к одной подгруппе пользователей с одинаковыми правами доступа.
Множество £ можно рассматривать как объединение двух подмножеств £(1> и £(2):£= £(1) где - подмножество субъектов, имеющих право подписи до-
кументов (владельцы объектов), право переписки, право на разрешение доступа к объектам и право ликвидации доступа; £() - подмножество субъектов, не имеющих таких прав. Пусть множество объектов О - конечное множество о1,о2,...,оь...,оп.
Примеры объектов: массивы информации (тексты), файлы данных, программы, подпрограммы и т.п., хранящиеся в оперативной памяти, на внешних носителях, в банках или базах данных и т.д. Каждый элемент (объект) имеет определенный уровень
защиты, соответствующий степени секретности информации, 3(о), ,= 1, п.
Если I - множество индексов { /1=1, ...,п}, то для уровней защиты возможна запись: 3(о), , е I. Этот уровень защиты объекта 3(о), постоянный для данного объекта о, е О, остается неизменным все время функционирования системы или все время существования объекта о,, вплоть до его уничтожения и называется базовым. Обозначим его 3ь(о). Когда в процессе функционирования вычислительной системы объект о, привлекается субъектом £ в качестве своего подсубъекта,
то для объекта о, применяется переменный (текущий) уровень защиты (о) .
Множество уровней защиты Ь - это конечное упорядоченное множество элементов ,..., £к : >£2 >...>£к . Множество Ь изоморфно множеству катего-
рий допуска, т.е. {11} —{и }.
Классификация информационных ресурсов производится по категориям ценности или ведомственной принадлежности. Вся информация, создаваемая пользователем, может иметь одну из следующих категорий: «конфиденциальная», «для служебного пользования», «свободно доступная», «секретная», «совершенно секретная», «особой важности», «персональные данные» или типов: «правительственная», «ведомственная», «институтская», «индивидуальная» и т.д. Классификация информационных ресурсов с течением времени уменьшается. Конфиденциальная информация может стать информацией для служебного пользования, а информация для служебного пользования может со временем стать общедоступной.
Согласно основной теореме безопасности, система защиты данных обеспечивает многоуровневую безопасность, если она не допускает перехода из защищенного надежного состояния в состояние, не являющееся защищенным [1] при выполнении ограничений на разрешенные виды доступа (операций). Множество видов доступа А субъектов к объектам защиты, состоящее из следующих элементов (чтение информации из объектов; дополнение, запись информации в объекты; исполнение; отказ от доступа; уничтожение объектов; создание объектов и задание атрибутов доступа к ним; классификация объектов и корректировка классификации; запрос; копирование объектов), например, может быть определено как:
- вид доступа «чтение (Ч)» состоит в получении субъектом яр информации, содержащейся в объекте ОI
- вид доступа «отказ от доступа (О)» запрещает субъекту яр доступ к информации объекта о,. Отказ субъекта яр от доступа к объекту о, разрешается безусловно. В этом случае данный вид доступа х е А исключается из множества видов доступа субъекта.
Различают персональное разграничение и коллективное разграничение. Персональное разграничение - для каждого элемента информации составляется список пользователей, имеющих к нему право доступа. Коллективное разграничение -структура защищаемых данных организуется в соответствии со структурой подразделений, участвующих в обработке защищаемой информации. Пользователи каждого подразделения имеют право доступа только к своим данным. При описании ограничений на операции нужно определить внешние условия.
- расположение — разрешение доступа может базироваться на положении (например, пользователь может получить доступ к некоторому информационному ресурсу только из офиса);
- время — разрешение доступа может базироваться на времени (например, пользователь может получить доступ к некоторому информационному ресурсу только в определенное время);
Множество видов управления доступом и, состоящее из следующих элементов (наделение правами; передача прав; лишение прав; наделение правом владения, наделение правом реализации), например, может быть определено как:
- вид управления доступом «передача прав (1111)» состоит в передаче полномочий доступа субъектом яр1 другому субъекту яр2 к объекту о, по определенным видам доступа;
- вид управления доступом «реализации запроса (РЗ)» состоит в разрешении реализации доступа субъекта яр к объекту о, согласно установленной категории допуска субъекта яр и уровню секретности объекта о,.
Контроль полномочий доступа, подразумевающий передачу полномочий доступа между субъектами, имеет характерные особенности в соответствии с принятыми в нашей стране процедурами работы с информацией ограниченного пользования. Это накладывает ряд ограничений при формировании правил разграничения доступа и управлении матрицей прав доступа.
Матрица прав доступа М= ЦтрЦ представляет собой матрицу размерности т х п,
каждый элемент трр которой содержит список видов доступа субъектов яр е £, р= 1, т,
к объекту о, е О, ,= 1, п, которые ему в данный момент разрешены и на которые он может претендовать. Предполагается, что матрица не содержит пустых столбцов, т.к. при наличии таковых матрица может быть сокращена: М\{о, }, ,= 1, п. Если матрица содержит пустые строки, это означает, что в данный момент субъекту яр запрещены все виды доступа ко всем объектам о, е О, V. е I, которые содержатся в матрице прав доступа. Список текущего доступа В описывает разрешенный в данный момент доступ субъектов к объектам. Он содержит записи вида (яр, о, х), если субъекту яр был разрешен доступ хеА к объекту о, и это разрешение к настоящему моменту не отменено, т.е. разрешено право «реализация запроса». Разрешение доступа действует до тех пор, пока субъект не обратится с запросом об отказе от доступа. Список запросов Я содержит запросы всех видов доступа, содержащихся в множестве видов доступа: виды доступа субъектов к объектам, создания и уничтожения объектов, передачи и лишения прав доступа, а также отказ от доступа.
Разрешение запроса вызывает изменение состояния вычислительной системы только в том случае, если при обращении к объекту о, с уровнем защиты 3(о) субъект яр не только имеет классификацию не ниже, чем объект защиты
3(яр) > 3(о), и соответствующую категорию допуска Ир, но имеет право на реализации своего запроса. Такое изменение должно приводить к защищенному состоянию, если исходное состояние также было защищено. Для этого необходимо строго выполнять решающие правила по разрешению запросов и изменению состояний [2] в соответствии с принятыми процедурами работы с информацией ограниченного пользования. Например:
- чтение субъектом яр объекта о, разрешается, если: г е тр 3(яр) > 3(о). Отвергается, если хоть одно из этих условий не выполняется;
- дополнение субъектом яр объекта оу информацией, содержащейся в объекте
о,, разрешается, если: g е т,р, г е тур, 3(яр) > 3(оу), 3(яр) > 3(о). И запрещается, если хоть одно из этих условий не выполняется. Изменение состояний: 3(о) ^ 3(Оу), если 3(о)>3(оу), 3(о)=3(оу), если 3(о) <3(оу);
- передача субъектом Sj субъекту sv права доступа x є A к объекту a>j разрешается, если n=x є m \ є {Sj } - "сын" субъекта Sj, J( sv ) > J( Oj ) или n = x є m , Xj = Ху, J( sv ) > J( а і), Sj, sv є S(l, или n= x є mtj, X. <X, sv є S(l и отвергается в противном случае. Изменения состояния: m. и {x};
- создание субъектом sj объекта о1 разрешается безусловно. Ограничение: J(Sj) > J(o). Изменения состояния: 01 = O и {Oj}, M= и {Oj}.
Предлагаемая процедура разграничения доступа с применением условий Белла и Лападула может быть применена для систем управления государственными органами с древовидной структурой субъектов и объектов защиты информации.
Полученные результаты с успехом могут быть применимы в государственных и бизнес - структурах, в которых функционирует информация различной степени чувствительности. В первую очередь многоуровневые системы, реализующие полномочную или избирательную политику информационной безопасности, должны найти свое применение при создании электронного правительства Республики Казахстан и при разработке космического мониторинга территории Республики Казахстан [3]. Электронное правительство (е-правительство) Республики Казахстан создается на базе информационной инфраструктуры органов власти с целью обеспечения большинства функций госуправления и в первую очередь ориентированного на взаимодействие госаппарата с институтами гражданского общества, бизнесом и населением, на основе новых информационных технологий. В ведомственных информационных системах циркулирует информация различных уровней конфиденциальности, содержащая сведения ограниченного распространения (служебная, коммерческая, банковская информация, персональные данные) и открытые сведения. Для обеспечения безопасности е-правительства требуется комплексный подход и разработка собственной политики информационной безопасности, которая должна отражать:
- комплекс мер по защите конфиденциальных данных и информационных процессов, как от злонамеренных, так и от неквалифицированных действий пользователей, включающих аутентификацию и контроль доступа;
- оценку рисков и схему уменьшения их до приемлемой величины;
- комплекс мер по быстрому восстановлению работоспособности системы и т.д.
Разработка Национальной системы космического мониторинга территории
Республики Казахстан направлена на оперативное предоставление государственным органам управления всех уровней достоверной информации о состоянии и использовании природных ресурсов. Естественно, что обеспечение безопасности данных и защиту цифровых космических изображений от несанкционированного доступа целесообразно осуществлять с применением новейших достижений в области криптографии и моделирования многоуровневых систем управления доступом не ниже класса В.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Bell D.E., La Padula L.J. Secure computer system: mathematical foundations. MTR -2547, vol.I, MITRE Corp., March 1973.
2. Bell D.E., La Padula L.J. Secure computer system: mathematical foundations. MTR -2547, vol.II, MITRE Corp., March 1973.
3. Бияшев Р.Г., Горковенко Е.В. Обеспечение многоуровневой защиты в информационных и вычислительных системах.// Материалы международной конференции «Развитие информационных технологий в высшей школе», Казахский национальный университет им. аль-Фараби: - Алматы: Казак университета, 2003.- С.247-253
