Модели защиты информации в компьютерных системах
и сетях
Для того, чтобы разработать эффективные средства защиты как
согласованную совокупность средств, необходимо прежде всего определить
концепцию этой системы. При исследовании и моделировании необходимо доказать
высокий уровень защищенности средств защиты .
Существует множество разработок модели систем защиты. Однако
наиболее используемыми моделями являются следующие:
1. Белла и Ла-Падула,. в которой вводится для построения
средств разграничения прав доступа, понятие активных субъектов S и пассивных объектов Q, к которым субъекты
получают различные права доступа; такая модель иногда называется
"матричная модель разграничения прав доступа";
2. Модель Деннинга - иерархическая многоуровневая модель
средств защиты при работе с документами различного уровня секретности; как
вариант, здесь вводится понятие концентрированных колец защиты, во внутренних
кольцах - максимальный уровень секретности и во время приближения к периферии -
уровень секретности уменьшается;
3. Модель Ландвера используется для компьютерных сетей, в
которых безопасность компьютерной информации в сети обеспечивается защитой всех
операций ввода-вывода информации при том или ином периметре ответственности в
сети (т.е. в локальных и корпоративных сетях).
В большинстве существующих операционных систем реального
времени используется концепция системы защиты Белла и Ла-Падула. В этой модели
требуется обязательное использование диспетчера доступа, а сама система защиты
представляется тройкой:
Z = <S, Q, Р>,
где S - субъекты, к которым относятся
пользователи и их программы, а также порождаемые процессы, процедуры и др.
Q -
множество объектов (ресурсов) системы, которые могут запрашиваться субъектами;
к объектам относятся также программы, процедуры, данные: диски, тома, файлы,
отдельные записи файлов и устройства.
Р - множество прав доступа субъектов к объектам.
Одна и та же процедура может выступать и как субъект, и как
объект одновременно. Права доступа определяются битовым вектором. Каждый бит определяет
запрет или разрешение: R,
Е, W, М, А, О, где R - чтение, Е -
редактирование, W -
запись, М - модификация, А - администратор, О -полный собственник.
Минимальные права доступа определяются 4-мя битами: R, E, W, M.
Права доступа определяет администратор доступа, и ни один га пользователей не
может иметь доступ к матрице ||Р|| (не может ее изменять).
Несмотря на то, что многие атаки и попытки НСД являются пассивными
(т.е. они не проявляют себя), тем не менее, возможно выявить даже такого
потенциального нарушителя, который готов к активной атаке.
Наиболее достоверными и соответствующими действительности
представляются игровые модели защиты, т.е. модели, в которых имеются, как минимум,
две стороны. Первая сторона строит систему защиты информации, а вторая -
систему преодоления защиты, построенной первой стороной. Она начинается с
построения первой стороной некоторой системы защиты. После этого вторая сторона
начинает преодолевать построенную систему защиты, а первая сторона - строить
новую Если вторая сторона преодолела защиту, построенную первой, раньше того момента,
как первая построила новую, то она проиграла. Если к моменту преодоления защиты
у первой стороны имеется новая система защиты, то она выиграла. Независимо от
исхода первого раунда игра продолжается. Критерием эффективности системы зашиты
при данном подходе является функция двух аргументов - времени, затрачиваемого
первой стороной на построение системы защиты, и времени, затрачиваемого второй
стороной на преодоление защиты.
Можно рассматривать и более сложные игровые модели, учитывающие
не только время, но и стоимость защищаемой информации и затраты на разработку/преодоление
системы защиты. В подобных моделях стоимость информации, защищаемой первой
стороной, уменьшается со временем, а одним из аргументов критерия эффективности
системы защиты является остаточная стоимость информации после
"вскрытия" зашиты второй стороной.
|