МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ
ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
Московский Государственный
Гуманитарный Университет имени
М.А. Шолохова
Кафедра «Кафедра высшей математики
и информатики»
Курсовая работа
«Реализация мандатной
модели безопасности в UNIX - подобных системах»
Исполнитель: студент 3 курса
группы
3ССОПИЭ заочного отделения
факультета точных наук
и инновационных технологий
специальность: «Прикладная
информатика в экономике»
Степанова Д.Б.
Научный руководитель: доктор
технических наук, профессор Сердюков
В.И.
2014
Содержание:
- Введение
- Общая характеристика систем
безопасности. Мандатное управление доступом
- Списки управления доступом
- Сравнительный анализ различных
типов систем
- Заключение
- Список литературы
Введение
В последнее время увеличивается
использование компьютерных сетей во
всех сферах жизни современного общества:
в сфере обороны, экономики, транспорта,
промышленности, связи, здравоохранения,
в государственных организациях, в финансовых
и банковских структурах, в области защиты
и обеспечения правопорядка. Поэтому остро
стоят вопросы информационного контроля
и управления правами пользователей в
компьютерных сетях.
Потенциальная уязвимость информационных
систем по отношению к случайным и предумышленным
отрицательным воздействиям выдвинула
проблемы информационной безопасности
в разряд важнейших, стратегических, определяющих
принципиальную возможность и эффективность
применения ряда ИС в гражданских и военных
отраслях.
В настоящий момент очень активно
развивается информационная безопасность
в экономике, а именно в торговле и промышленности.
В связи с тем, что ценность информации
как ресурса растет с каждым днем, учащаются
попытки незаконной ее добычи злоумышленниками,
что влечет за собой неприятные последствия
для предприятий. Сложившаяся ситуация
заставляет предпринимателей более внимательно
относиться к информационной защите своего
бизнеса, соответственно растет потребность
как в специалистах в данной области, так
и в различных системах, аппаратных и программных
средствах, иных средств обеспечения безопасности.
Естественно, система защиты состоит не
из одних только технических средств и
персонала. Базисом любой системы является
грамотно подобранная или самостоятельно
построенная модель, наиболее подходящая
для каждого конкретного предприятия
и обязательно выполняющая 3 требования:
доступности, целостности и конфиденциальности.
Существует большое количество моделей
безопасности, направленных на поддержание
одного из этих необходимых свойств информации,
циркулирующей в компьютерной сети предприятия.
Задача специалистов, разрабатывающих
систему безопасности, - учитывая специфику
предприятия, выбрать ту модель (или симбиоз
нескольких), которая бы обеспечивала
требуемый уровень защиты в сочетании
с максимальным удобством эксплуатации
системы.
В данной работе будут рассмотрены
основные модели безопасности информационных
систем, а также проведен их сравнительный
анализ. Кроме того, будет затронута проблема
объединения моделей безопасности и их
использования для обеспечения защиты
информации в вычислительной сети предприятия.
- Общая характеристика
систем безопасности. Мандатное управление доступом.
Модель систем дискреционного
разграничения доступа
Выбор модели информационной
безопасности (ИБ) является одним из этапов
создания политики безопасности предприятия.
Политика безопасности – набор
законов, правил и практических рекомендаций,
на основе которых строится управление,
защита и распределение критичной информации
в системе. С одной стороны, политика безопасности
предписывает пользователям, как правильно
эксплуатировать систему, с другой - политика
безопасности определяет множество механизмов
безопасности, которые должны существовать
в конкретной реализации вычислительной
системы.
Любая политика безопасности
направлена против трёх основных угроз
безопасности. Они проистекают из описанных
во введении свойств, которыми должна
по определению обладать информация: свойство
конфиденциальности (секретности), целостности
и доступности. Соответственно, те или
иные угрозы будут затрагивать какое-то
из этих свойств.
1. Угроза раскрытия заключается в том,
что информация становится известной
пользователю, который не авторизован
для этого. В терминах компьютерной безопасности
угроза раскрытия имеет место всякий раз,
когда получен несанкционированный доступ
к некоторой секретной информации, хранящейся
в вычислительной системе или передаваемой
от одной системы к другой. Иногда в связи
с угрозой раскрытия используется термин
"утечка информации".
В последние годы, фактически, подавляющее
большинство мировых исследований и разработок
в области компьютерной безопасности
было сосредоточено на угрозах раскрытия.
Одной из причин этого являлось значение,
которое правительства ведущих государств
придавали противостоянию этой угрозе.
2. Угроза целостности включает в себя
любое несанкционированное изменение
информации, хранящейся в вычислительной
системе или передаваемой из одной системы
в другую. Когда нарушитель преднамеренно
изменяет информацию, мы говорим, что целостность
этой информации нарушена. Целостность
также будет нарушена, если к несанкционированному
изменению приводит случайная ошибка.
Санкционированными изменениями являются
те, которые сделаны определенными лицами
с обоснованной целью (таким изменением
является периодическая запланированная
коррекция некоторой базы данных).
3. Угроза отказа служб (отказа в обслуживании)
возникает всякий раз, когда в результате
преднамеренных действий, предпринятых
другим пользователем, умышленно блокируется
доступ к некоторому ресурсу вычислительной
системы. Поскольку вопросы отказа служб
основаны на временных понятиях, они значительно
труднее для формализации, чем раскрытие
и нарушение целостности. Поэтому, в процессе
проектирования и разработки информационных
систем большее внимание уделяется сохранению
свойств целостности и конфиденциальности
информации в системе.
По виду предотвращаемых угроз модели
безопасности разделяют на модели разграничения
доступа и модели контроля целостности.
Рассмотрим
каждую из моделей безопасности отдельно.
Модели разграничения
доступа
В «доисторические» времена,
когда персональных компьютеров еще не
существовало, и даже мэйнфреймы были
в новинку, контроля доступа таким, как
мы его знаем сегодня, не было. Доступ к
компьютеру имели единицы проверенных
людей в соответствующих ведомствах или
исследовательских институтах и вузах,
острой необходимости в разграничении
доступа не возникало. Затем, когда пользователей
стало больше, стало необходимо считать
машинное время, выделяемое каждому из
них. Тогда появилось понятие контроля
доступа (access control).
Большинство ранних исследований
по информационной безопасности было
посвящено проблеме персонального доступа
в системах совместного доступа. Как сделать
так, чтобы пользователи X и Y, пользуясь
одними и теми же программами, не знали,
кто и что делает? Именно тогда стали разрабатываться
так называемые модели разграничения
доступа, которые лежат в основе политики
безопасности и защитных механизмов современных
информационных систем – ОС, СУБД, МСЭ
и т. п. Потом уже данный вопрос был расширен.
Как сделать так, чтобы X не мог модифицировать
данные Y? А также, как обеспечить определенный
уровень доступности систем, с которыми
работают X и Y? Учитывая место и время разработки
первых моделей безопасности (военные
ведомства США), исторически сложилось
так, что первыми появились именно модели,
направленные на предотвращение угроз
раскрытия информации (модели разграничения
доступа). Иными словами, требуется защитить
информацию так, чтобы она не стала известна
тому, кто не имеет на это право.
Такие модели строились, как
правило, по принципу предоставления тех
или иных прав, хотя существовали и другие,
зачастую более интересные и совершенные
методы – на основе теории информации
или теории вероятностей. Но простота
реализации и естественность моделей
первого типа обусловила их распространение
по миру. Впервые описания подобных моделей
появились в 60-х годах, и многие принципы
с тех пор мало изменились. Суть их проста
– если у вас есть «пропуск», то вы имеет
право на доступ к информации. Если его
нет, то и доступ должен быть заблокирован.
Из всех существующих моделей наиболее
известными являются две – дискреционный,
или избирательный (discretionary access control, DAC),
и мандатный, или полномочный доступ (mandatory
access control, MAC). Надо заметить, что вторая
модель стала развитием первой.
Дискреционный доступ
Дискреционная модель (discretionary
access control, DAC) представляет собой явно заданные
правила доступа субъектов системы к объектам.
Такие правила обычно записаны в виде
матрицы доступов.
Классическая дискреционная
модель Харрисона-Руззо-Ульмана (ХРУ) состоит
из следующих элементов:
− множество объектов системы O
− множество субъектов системы S, подмножество
множества O
− множество прав доступа R субъектов на
объекты. Обычно это права на чтение
(read), на запись
(write) или владение
(own) объектом
− матрица доступов M, строки которой
соответствуют субъектам, а столбцы –
объектам. Элементами матрицы M являются подмножества
множества прав доступа. Функционирование
системы рассматривается только с точки
зрения изменений в матрице доступов.
Суть DAC заключается в следующем.
У каждого объекта (например, файл или
запись в базе данных) есть владелец (owner), который
может по своему усмотрению разрешать
другим субъектам (как правило, пользователи,
но могут быть и программы, процессы и
т. п.) доступ к этому объекту. Реализация
такой модели очень проста – в столбцах
матрицы доступа указаны субъекты, а в
строках – объекты доступа (рисунок 1).
На их пересечении указывается совокупность
прав доступа (чтение, запись, выполнение
и т. д.)
| |
USER 1 |
USER 2 |
USER 3 |
USER 4 |
FILE 1 |
r |
rw |
rw |
0 |
FILE 2 |
rwe |
rwe |
rwe |
re |
FILE 3 |
rw |
rw |
rwe |
e |
Рисунок 1 - Матрица доступов
Но за простотой реализации
скрывается и ряд подводных камней, которые
делают эту модель низкозащищенной для
большинства сфер применения. Во-первых,
в системе с DAC (ярким примером является
семейство ОС Windows) всегда есть администратор,
который имеет доступ ко всем объектам.
Защищенность системы в этом случае зависит
только от честности этого «суперпользователя».
Вторая особенность в том, что для облегчения
реализации DAC на практике многие права
доступа назначаются автоматически при
создании того или иного объекта, причем
по умолчанию доступ разрешается всем
с возможностью дальнейшего изменения
прав. Это, конечно, делает такую модель
доступа очень удобной в использовании,
но совершенно непригодной для контроля
утечки информации. Злоумышленнику достаточно
узнать идентификатор и пароль пользователя,
чтобы получить доступ ко всем его файлам
и документам, а также выполнить любые
действия от его имени.
Развитием этой модели стала
«замкнутая программная среда», которая
помимо определенных ранее критериев
дополнена еще одним – для каждого субъекта
имеется список программ, которые этот
субъект (обычно пользователь) может запускать.
Это значительно повышает защищенность
системы от различных вредоносных программ,
червей, троянцев и вирусов, но контролю
не поддается утечка информации. И конечно,
остаются проблемы с перехватом или подбором
имени и пароля пользователя и административным
доступом. На практике такая модель не
получила широкого распространения из-за
сложностей в ее администрировании и эксплуатации
(особенно в крупных территориально распределенных
сетях).
Мандатный доступ
Для того чтобы устранить недостатки
модели DAC, была предложена новая модель
— мандатного, или полномочного доступа.
В ее основе лежит математическая модель,
описанная в 1975 году сотрудниками компании
MITRE Corporation Дэвидом Беллом и Леонардом
Лападулой. Идеи, лежащие в основе модели
Белла-Лападулы (сокращенно – БЛМ), берут
происхождение из традиционного (бумажного)
документооборота. Белл и Лападула перенесли
модель безопасности, принятую при работе
с документами в правительстве США, в мир
компьютерных систем. Их основным наблюдением
является то, что в правительстве США все
субъекты и объекты ассоциируются с уровнями
безопасности, варьирующимися от низких
уровней (неклассифицированных) до высоких
(совершенно секретных). Кроме того, они
обнаружили, что для предотвращения утечки
информации к неуполномоченным субъектам
этим субъектам с низкими уровнями безопасности
не позволяется читать информацию из объектов
с высокими уровнями безопасности.
Это ведет к первому правилу
БЛМ - “нет чтения вверх” («no read up» - NRU). Оно
гласит, что субъект с уровнем безопасности xs может читать
информацию из объекта с уровнем безопасности xо, только если xs преобладает
над xо. Это означает,
что если в системе, удовлетворяющей правилам
модели БЛМ, субъект с уровнем доступа
«секретный» попытается прочитать информацию
из объекта, классифицированного как «совершенно
секретный», то такой доступ не будет разрешен.
Белл и Лападула сделали дополнительное
наблюдение при построении своей модели:
в правительстве США субъектам не позволяется
размещать информацию или записывать
ее в объекты, имеющие более низкий уровень
безопасности. Например, когда совершенно
секретный документ помещается в неклассифицированное
мусорное ведро, может произойти утечка
информации. Это ведет ко второму правилу
БЛМ – «нет записи вниз» («no write down» -NWD).
Оно гласит, что субъект безопасности xs может писать информацию
в объект с уровнем безопасности xo только если xo преобладает над xs. Это означает, что если
в системе, удовлетворяющей правилам модели
БЛМ, субъект с уровнем доступа «совершенно
секретный» попытается записать информацию
в неклассифицированный объект, то такой
доступ не будет разрешен. Введение этого
правила разрешает проблему троянских
коней, так как запись информации на более
низкий уровень безопасности, типичная
для троянских коней, запрещена.