Декомпозиция системы защиты информации

Формализацию модели безопасности будем проводить в рам­ках субъектно-ориентированной, или субъектно-объектной, мо­дели, рассмотренной выше. Основным ее свойством является то, что все порождаемые субъекты могут порождаться из объектов только при условии разрешения мониторов безопасности — ад­министраторов. Администратор дает разрешение на создание субъектов, наделяет их правами по умолчанию, контролирует ин­формационные потоки между объектами.

Необходимо выполнить декомпозицию системы зашиты ин­формации, выделить отдельных администраторов и описать вы­полняемые ими функции.

На рис. 11.4 по аналогии с [43] представлено схематичное изоб­ражение структуры АС, показывающее распределение компонент сети на объекты и субъекты. Серыми прямоугольниками выделе­ны барьеры защиты; А — администратор; С? — объекты; S — субъек­ты; {/?} — множество видов доступа (операций) в сети; {Т] — мно­жество требований к механизмам зашиты АС при передаче (шиф­рование, контроль целостности, неотказуемость авторства); при аутентификации и авторизации (требования к паролями, другим факторам аутентификации, ЭЦП); присудите и регистрации со­бытий и т.п.

Для построения субъектно-объектной модели необходимо опи­сать процесс взаимодействия между субъектами и объектами си­стемы, управление информационными потоками в вычислитель­ной среде.

Функции системы обеспечения безопасности информации мо­гут выполняться в рамках разных ресурсов автоматизированной системы под управлением владельцев этих ресурсов. Важно, что взаимодействие производится только между двумя соседними уров­нями модели системы зашиты.

В работе [5] доказана следующая теорема (далее — теорема Грушо):

Внутреннее взаимодействие

Внешнее взаимодействие

Рис. П.4. Субъсктно-объектная декомпозиция структуры АС (пояснения см. в тексте)

9 ГриЛунмн

Теорема. Пусть выполнены следующие условия.

1. Каждый субъект сети существует только в одной компоненте на протяжении всего жизненного цикла.

2. Каждый субъект может иметь доступ только к объектам сво­ей компоненты.

3. Каждая компонента содержит отнесенный к этой компонен­те монитор обращений, который рассматривает только обраще­ния субъектов этой компоненты к объектам этой компоненты.

4. Все каналы, связывающие компоненты, не компрометируют безопасность информации, в них проходящей.

Тогда совокупность мониторов обращения компонент являет­ся монитором обращения в сети.

Таким образом, обеспечив изолированность субъектов-объек­тов, отдельных администраторов и безопасность связи между ними, мы получим безопасную систему.

На практике достаточно сложно реализовать подобные усло­вия. Приведенная ранее теорема Грушо показывает, что условия безопасности могут не соблюдаться при доступе субъекта из од­ного сегмента сети в другой. Выходом представляется выделение в составе локальной сети управления компоненты канала доступа в глобальную сеть. По отношению к локальной сети этот компо­нент будет выступать как объект, осуществляющий безопасную связь с другим фрагментом сети (для выполнения предположения 4 теоремы Грушо). То есть процесс передачи мы разделили во времени. Вначале пользователь осуществляет доступ к объекту-передатчику и записывает в него информацию. Затем эта инфор­мация передается по безопасному каналу связи (доступ к ней не­возможен, так как канал — безопасный). После этого в другой локальной сети осуществляется считывание информации из объекта этой сети, так что условия теоремы Грушо не нарушаются: пользо­ватель не осуществляет доступа к объектам вне своей сети.

Таким образом, предполагается, что между администраторами имеется абсолютное доверие, каждый из них осуществляет управ­ление только в рамках своей подсистемы, передача управляющей информации между ними происходит в закрытой среде, обеспе­чивающей конфиденциальность, целостность, доступность и не-отказуемость авторства.

Систему защиты целесообразно декомпозировать на следую­щие составляющие:

• администратор системы (АСИС) — должностное лицо, отве­чающее за выработку и проведение в жизнь единой политики бе­зопасности во всех сегментах системы;

• администратор локальной сети (АС) — должностное лицо, выполняющее функции настройки и администрирования АРМов локальной сети, генерацию и выдачу пользователям паролей, клю­чей и т.п.;

• под управлением АС работает программный модуль админи­стратора управления доступом (АУД), раздающий права и атрибу­ты безопасности субъектам и объектам сети и поддерживающий соответствующие базы данных;

• администратор разграничения доступа (АРД), выполняющий функции разделения доступа при осуществлении всех операций, управления правами;

• администратор внешних соединений (ABC), обеспечивающий безопасность соединений между локальными сетями;

• сервисы шифрования и контроля целостности (в т.ч. антиви­русной защиты), предоставляемые по запросам администраторов и уполномоченных пользователей;

• механизмы идентификации и аутентификации, используемые всеми участниками АС;

• подсистема аудита, параметры которой в определенных пре­делах могут настраиваться администраторами;

• подсистема защиты, расположенная у субъекта (пользовате­ля), выполняющая функции защиты АРМов от НСД, доверенной загрузки приложений, хранения атрибутов безопасности, обеспе­чения конфиденциальности пользовательской информации.

Для обеспечения надежной защиты пользовательских данных целесообразно осуществлять как абонентское, так и линейное шифрование (например, на пограничном маршрутизаторе).

АСИС связан с подчиненными ему администраторами сетей защищенными каналами связи и выполняет следующие функции:

• периодическое изменение баз данных у администратора сети (например, при изменениях в политике безопасности);

• сбор информации от администраторов сети;

• выработку управляющих воздействий;

• доведение их до администраторов сети;

• контроль за выполнением распоряжений.

АС осуществляет настройку, в том числе удаленную, всех сер­висов и механизмов защиты, управляет программными модулями АУД, АРД, ABC. Докладывает о нарушения^ безопасности, при­нятых мерах (и т.п.) АСИС.

Все остальные администраторы являются программными мо­дулями, получают команды от АС, возвращают ему же информа­цию о выполнении, вызывают при необходимости сервисы шиф­рования, контроля целостности, механизмы идентификации и аутентификации и обращаются к подсистеме аудита.

АУД должен поддерживать базы данных атрибутов безопасно­сти пользователей, групп пользователей, субъектов-процессов, объектов АС. Контроль целостности баз данных АУД выполняет периодически или по запросу АС. Команды на модификацию своих баз он получает от АС. Информацию о допуске к операции субъек­та/объекта АУД передает АРД по его запросу.

АРД вызывается всякий раз при попытке доступа субъекта к объекту или при попытке объекта породить субъекта. Он обраща­ется к АУД, передавая ему идентификаторы участников опера­ции, получает от него разрешение или запрет на выполнение опе­рации. АРД осуществляет записи в регистрационный журнал со­бытий, сам не хранит никакой информации.

ABC выполняет обработку запроса пользователя на внешнее соединение (пересылка данных, электронная почта, разговор по IP-телефону и т.п.), для чего «общается» с АУДом. Затем он осу­ществляет безопасное соединение с ABC соседней локальной сети и передает данные. Он поддерживает базы данных соединений, внутренние и внешние IP-адреса, ведет регистрационный жур­нал, обращаясь к подсистеме аудита.

Проанализируем более детально составные части общей си­стемы.

Подсистема управления и разграничения доступа (АУД и АРД) выполняет задачу обеспечения доступности к системе. Она про­водит проверку подлинности клиента, а также канала связи, под­ключающихся к системе и передающих свои команды на испол­нение операций. Среда «управление доступом» в общем случае представляет собой комплекс программно-технических средств, прежде всего сетевого оборудования и средств защиты. Оба типа систем основываются как на программной, так и на аппаратной реализации.

Управление данным ресурсом осуществляется АУД; его роль могут выполнять вычислительные процессы, поддерживаемые ад­министратором сети. Именно на этом субъекте лежит ответствен­ность за функционирование данной подсистемы защиты, ведение баз данных дискреционного и мандатного доступов.

Среди функций безопасности, осуществляющихся на данном уровне системы защиты, выделим шифрование; идентификацию; аутентификацию; авторизацию; электронную цифровую подпись (ЭЦП).

Для передачи информации между сетями управлений АС мо­жет использовать каналы передачи общедоступных вычислитель­ных сетей, при этом будет необходимо использовать шифроваль­ную технику для предотвращения возможности раскрытия дан­ных при перехвате передаваемой информации.

Чтобы определить подлинность субъекта, подключающегося к сети, используют средства идентификации и аутентификации. Авторство (и неотказуемость авторства) и целостность передавае­мых команд от субъектов обеспечиваются применением ЭЦП.

Для осуществления проверки цифровых подписей субъектов АРД должен иметь все используемые в системе открытые ключи ЭЦП. Также можно организовать выдачу и хранение сертифика­тов на открытые ключи и закрытые ключи.

АРД отвечает за разделение доступа и управление информаци­онными потоками. Основную политику безопасности, выполняе­мую подсистемой, можно сформулировать следующим образом: разрешать доступ легального субъекта к объекту, на который у него есть права, и запрещать доступ при любых других комбина­циях полномочий.

Данная подсистема может быть реализована аппаратно-про­граммным или только программным способом. В случае реализа­ции подсистемы на отдельном сервере необходимо отметить, что с остальными подсистемами она должна быть соединена закрытыми внутренними каналами связи, что повышает надежность защиты.

Управление ресурсом осуществляется АРД. Как уже отмеча­лось, внутренняя защита и бесперебойное функционирование ре­сурса разграничения доступа обеспечивается его администрато­ром. В модели считается, что данная среда постоянно предостав­ляет необходимые системе функции.

На данном этапе проверяется подлинность субъекта и его ко­манды. Задача средств разграничения доступа — аутентифициро-вать субъект и получить у АУД информацию о наличии прав на осуществление доступа к запрашиваемому объекту.