Анализ и классификация современного рынка информационных систем, реализующих дискреционную, мандатную и ролевую политики безопасности

 
 

МИНИСТЕРСТВО  ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

БАШКИРСКИЙ  ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

Кафедра «Управление качеством» 
 
 
 
 

РЕФЕРАТ

На тему:

Анализ  и классификация  современного рынка  информационных систем, реализующих дискреционную, мандатную и ролевую  политики безопасности 
 
 
 
 
 
 

Уфа, 2010 
 
 
 
 
 
 
 
 

Содержание 

       Введение                                                                                                      3

       1. Общая характеристика систем, реализующих дискреционную, мандатную и ролевую политики безопасности                                                  4

1. Модель систем дискреционного разграничения доступа            4

       1.2 Мандатное управление доступом                                                   5

       1.3 Ролевое разграничение                                                                         6

       2. Сравнительный анализ различных типов систем                                 7

1. Операционные системы                                                                     7

       2.2 Системы управления базами данных                                                10

       2.3 Корпоративные информационные системы                                     14

       Заключение                                                                                                18

       Литература                                                                                                 19 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

     Введение 

       Как известно, сегодня достаточно большое  внимание уделяется информационной безопасности. Это представляется нам оправданным, так как вопросы защиты приобретают все большее и большее значение. При этом системы безопасности стараются максимально улучшить. Все это говорит об актуальности темы нашего исследования.

         Разработчики систем безопасности, реализующих различные способы и методы противодействия угрозам информации, стараются максимально облегчить работу по администрированию безопасности. Для этого большинством информационных систем используются стандартные подходы, ставшие результатом накопления разработчиками систем защиты опыта создания и эксплуатации подобных систем. Разработка системы защиты информации должна реализовывать какую-либо политику безопасности. Политика безопасности представляет собой набор правил, определяющих множество допустимых действий в системе. При этом должна быть реализована полная и корректная проверка условий. Существуют специальные модели безопасности - системы, функционирующие в соответствии со строго определенным набором формализованных правил, и реализующие какую-либо политику безопасности. Мы остановимся на трех ключевых системах безопасности, Они являются наиболее эффективными и используемыми на сегодняшний день. Это модели систем дискреционного, мандатного и ролевого разграничений доступа. Кроме того, ключевым моментом нашего исследования является вопрос об информационных системах, реализующих дискреционную, мандатную и ролевую политики безопасности. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

       1. Общая характеристика систем, реализующих дискреционную, мандатную и ролевую политики безопасности. 

       1.1 Модель систем  дискреционного разграничения  доступа 

       Данная  модель характеризуется разграничением доступа между поименованными субъектами и объектами. Субъект с определенным правом доступа может передать это  право любому другому субъекту. Для  каждой пары (субъект-объект) должно быть задано явное и недвусмысленное  перечисление допустимых типов доступа (читать, писать и т.д.), которые являются санкционированными для данного  субъекта (индивида или группы индивидов) к данному ресурсу (объекту). Возможны, по меньшей мере, два подхода к  построению дискреционного управления доступом:

• каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту;
• система имеет одного выделенного субъекта – суперпользователя, который имеет право устанавливать права владения для всех остальных субъектов системы.

       Возможны  и смешанные варианты построения, когда одновременно в системе  присутствуют как владельцы, устанавливающие  права доступа к своим объектам, так и суперпользователь, имеющий возможность изменения прав для любого объекта и/или изменения его владельца. Именно такой смешанный вариант реализован в большинстве операционных систем (UNIX или Windows семейства NT).

       Дискреционное управление доступом является основной реализацией разграничительной  политики доступа к ресурсам при  обработке конфиденциальных сведений согласно требованиям к системе  защиты информации.

       Основой дискреционной (дискретной) политики безопасности является дискреционное управление доступом (Discretionary Access Control – DAC), которое определяется двумя свойствами:

• все субъекты и объекты должны быть идентифицированы;
• права доступа субъекта к объекту системы определяются на основании некоторого внешнего по отношению к системе правила.

       К достоинствам дискреционной политики безопасности можно отнести относительно простую реализацию соответствующих механизмов защиты. Этим обусловлен тот факт, что большинство распространенных в настоящее время автоматизированные системы, в том числе и АСУВ (АСУ БС, АСУ СН), обеспечивают выполнение положений именно данной политики безопасности. К недостаткам относится статичность модели (данная политика безопасности не учитывает динамику изменений состояния AC, не накладывает ограничений на состояния системы. Кроме этого, при использовании дискреционной политики безопасности возникает вопрос определения правил распространения прав доступа и анализа их влияния на безопасность AC. В общем случае при использовании данной политики безопасности перед монитором безопасности объектов (МБО), который при санкционировании доступа субъекта к объекту руководствуется некоторым набором правил, стоит алгоритмически неразрешимая задача: проверить приведут ли его действия к нарушению безопасности или нет. В то же время имеются модели АС, реализующих дискреционную политику безопасности (например, модель Take-Grant), которые предоставляют алгоритмы проверки безопасности. Однако они не являются тем механизмом, который бы позволил реализовать ясную и четкую систему защиты информации в АС, что обуславливает поиск более совершенных политик безопасности.

       1.2 Мандатное управление  доступом 

       Для реализации этого принципа каждому  субъекту и объекту должны сопоставляться классификационные метки, отражающие место данного субъекта (объекта) в соответствующей иерархии. Посредством  этих меток субъектам и объектам должны назначаться классификационные  уровни (уровни уязвимости, категории  секретности и т.п.), являющиеся комбинациями иерархических и неиерархических  категорий. Данные метки должны служить  основой мандатного принципа разграничения  доступа. КСЗ при вводе новых  данных в систему должен запрашивать  и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении  в список пользователей нового субъекта должно осуществляться сопоставление  ему классификационных меток. Внешние  классификационные метки (субъектов, объектов) должны точно соответствовать  внутренним меткам (внутри КСЗ).

       КСЗ должен реализовывать мандатный  принцип контроля доступа применительно  ко всем объектам при явном и скрытом  доступе со стороны любого из субъектов:

• субъект может читать объект, только если иерархическая классификация субъекта не меньше, чем иерархическая классификация объекта, и неиерархические категории субъекта включают в себя все иерархические категории объекта;
• субъект осуществляет запись в объект, только если классификационный уровень субъекта не больше, чем классификационный уровень объекта, и все иерархические категории субъекта включаются в неиерархические категории объекта.

       Реализация  мандатных правил разграничения  доступа должна предусматривать  возможности сопровождения изменения классификационных уровней субъектов и объектов специально выделенными субъектами. Должен быть реализован диспетчер доступа, то есть средство, осуществляющее перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном его разрешении и дискреционными, и мандатными правилами разграничения доступа. Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации. Кроме того, по сравнению с АС, построенными на основе дискреционной политики безопасности, для систем, реализующих мандатную политику, характерна более высокая степень надежности. Это связано с тем, что МБО такой системы должен отслеживать, не только правила доступа субъектов системы к объектам, но и состояния самой АС. Т.о. каналы утечки в системах данного типа не заложены в нее непосредственно, а могут появиться только при практической реализации системы. 

       1.3 Ролевое разграничение 

       Основной  идеей управления доступом на основе ролей является идея о связывании разрешений доступа с ролями, назначаемым  каждому пользователю. Эта идея возникла одновременно с появлением многопользовательских  систем. Однако до недавнего времени  исследователи мало обращали внимание на этот принцип.

       Ролевое разграничение доступа представляет собой развитие политики дискреционного разграничения доступа, при этом права доступа субъектов системы  на объекты группируются с учетом их специфики их применения, образуя  роли.

       Такое разграничение доступа является составляющей многих современных компьютерных систем. Как правило, данный подход применяется в системах защиты СУБД, а отдельные элементы реализуются  в сетевых операционных системах.

       Задание ролей позволяет определить более четкие и понятные для пользователей компьютерной системы правила разграничения доступа. При этом такой подход часто используется в системах, для пользователей которых четко определен круг их должностных полномочий и обязанностей.

       Роль  является совокупностью прав доступа  на объекты компьютерной системы, однако ролевое разграничение отнюдь не является частным случаем дискреционного разграничения, так как ее правила  определяют порядок предоставления прав доступа субъектам компьютерной системы в зависимости от сессии его работы и от имеющихся (или  отсутствующих) у него ролей в  каждый момент времени, что является характерным для систем мандатного разграничения доступа. С другой стороны, правила ролевого разграничения доступа являются более гибкими, чем при мандатном подходе к разграничению.

       Если  подвести итог, то у каждой из перечисленных  нами систем есть свои преимущества, однако ключевым является то, что ни одна из описанных моделей не стоит на месте, а динамично развивается. Приверженцы есть у каждой из них, однако, объективно посмотрев на вещи, трудно отдать предпочтение какой-то одной  системе. Они просто разные и служат для разных целей. 

2. Сравнительный анализ различных типов систем 

2.1Операционные системы.

       Flask

       Операционная  система Flux Advanced Security Kernel, или как ее иначе называют FLASK — это архитектура безопасности операционной системы, которая обеспечивает гибкую поддержку политик безопасности. Ранее Прототип архитектуры FLASK был реализован в исследовательской операционной системе Fluke. В связи с этим, на наш взгляд, интересно будет сказать несколько слов об истории создания FLASK В 1992 и 1993 годах исследователи Агентства национальной безопасности США и Secure Computing Corporation (SCC) работали над реализацией Distributed Trusted Mach (DTMach), отпрыском проектов TMach и Lock. DTMach интегрировал генерализацию Type Enforcement (TE) — гибкого механизма доступа в микроядро. Проект DTMach позже был продолжен в проекте Distributed Trusted Operating System (DTOS). В свою очередь, после внесения усовершенствований проект DTOS дал рождение прототипу, переданному университетам для исследований. Кроме того результатом проекта DTOS стал отчёт — формальная спецификация системы, включающий в себя: анализ политик безопасности и их характеристик, научные работы о безопасности, assurability и composability techniques операционных систем, основанных на микроядре.После завершения проекта DTOS результаты его работы были использованы в другом проекте NSA, SCC и университета Юты (University of Utah) — проекте Flux, задачей которого было перенести архитектуру безопасности DTOS в исследовательскую операционную систему Fluke. В процессе интеграции архитектуры в Fluke, она была улучшена для поддержки динамических политик безопасности. Эта улучшенная архитектура была названа Flask. Некоторые интерфейсы и компоненты Flask впоследствии были перенесены из Fluke в OSKit. Конечным итогом исследований стала реализация архитектуры Flask для операционной системы Linux в SELinux, выполненной Агентством национальной безопасности США, передавшим технологию многочисленным сообществам пользователей и разработчиков. Другими основными участниками проекта SELinux являются: NAI Labs, Secure Computing Corporation и MITRE. Некоторые компоненты и интерфейсы Flask были позже портированны из прототипа Fluke в OSKit. Архитектура Flask была реализована для операционной системы Linux (Security-Enhanced Linux, SELinux) для того, чтобы передать технологию многочисленным сообществам пользователей и разработчиков. В настоящее время архитектура Flask является основой для технологий реализации систем принудительного контроля доступа, таких как Security-Enhanced Linux (SELinux), OpenSolaris FMAC и TrustedBSD.  В завершение хочется еще раз отметить, что в этой операционной система первоначально была воплощена модель мандатной политики безопасности.